在第三方服務器上驗證Android的authToken

Question

我正在編寫一個Android應用程序，它使用AccountManager獲取令牌。從Android應用程序中，我可以與Google Picasa進行互動 - 效果很好。

我想達到的是：發送一些text + authToken到我的第三方服務器，然後在保存文本之前檢查標記是否正確。現在的問題是：是否有可能確定某個特定標記的authToken是否僅在標記本身（也可能是電子郵件地址）上正確。

我已經編程的服務器部分，它接受的令牌（從Android應用程序發送），然後發出一個URL地址的請求：

https://accounts.google.com/o/oauth2/tokeninfo?access_token=%token_here% 

我得到的回覆是以下JSON：

{ 
    "error" : "invalid_token" 
} 

但是，這裏的鏈接http://oauthssodemo.appspot.com/step/4指出，如果令牌是正確的，我應該收到不同的JSON響應。你能告訴我我做錯了什麼：我相信檢查標記的有效性的方式並不那麼簡單，但我應該實施整個openid或其他東西。即使是這種情況，我如何檢查android應用程序發送的令牌是否正確，因此我可以保存消息的「文本」部分。

謝謝。

Answer 1

解決方法如下。

https://accounts.google.com/o/oauth2/tokeninfo?access_token=%token_here% 

但在我的情況，我試圖驗證「授權碼」，而不是「訪問令牌」，你可以在這裏看到：https://code.google.com/oauthplayground/

如果您可以通過這個網址驗證令牌「再使用Android和OAuth不使用

lh2 

而是使用下面的服務名稱：

http://picasaweb.google.com/data/ 

所以，你應該叫getAuthToken如下

getAuthToken(account, "http://picasaweb.google.com/data/" , true, null, null); 

然後你就可以驗證這個調用接收的令牌的URI張貼以上。

Answer 2

閱讀本 https://developers.google.com/accounts/docs/OAuth2WebServer

Web服務器接收的授權碼後，可以交換 訪問令牌和刷新令牌的授權碼。這 請求是HTTPS POST，幷包括以下參數：使用的AccountManager和開始使用谷歌播放服務的GoogleAuthUtil類，那麼它變得容易

Answer 3

停止。見http://android-developers.blogspot.ca/2013/01/verifying-back-end-calls-from-android.html

Answer 4

基於對這個答案的信息：What is the proper way to validate google granted OAuth tokens in a node.js server?，

您可以在URL中嘗試使用id_token代替access_token調用谷歌的tokeninfo端點。

Answer 5

我遇到了完美執行任務的護照 - 谷歌令牌護照策略。

https://www.npmjs.com/package/passport-google-token

更多細節存在於上述鏈接。