我們有一款使用OAuth2 Google登錄系統的應用程序,我們希望在初始註冊期間將來自登錄我們應用程序的用戶的數據存儲到我們的後端。如何使用Google OAuth 2.0在本機應用程序中訪問自己的API進行身份驗證?
這是我們得到了它設置方式:
我們還需要用戶能夠更新/插入數據到後-E後面的信息當他被認證時。
初始註冊後,我們該怎麼做?
每次他們在我們的後端調用API時,我們是否將ID令牌從客戶端發送到服務器?在這種情況下如何處理過期的令牌?
如果你想使你的API一個一等公民在您的系統,並將它需要專門頒發給它,而不是接受了頒發給您的客戶端應用程序,然後你,谷歌認證相關的令牌的訪問令牌需要有一個專門爲您的API發佈令牌的授權服務器。
該授權服務器仍然可以將用戶身份驗證委託給Google,但在驗證用戶身份後,它會發出更符合您需求的API特定訪問令牌,例如包括您的API用於執行授權的特定範圍決定。
有關此方案的更完整說明,可以查看Auth0 Mobile + API architecture scenario。
在這種情況下,您有一個與API(「資源服務器」)通信的移動應用程序(「客戶端」)。應用程序將使用OpenID Connect和授權代碼授權,使用用於代碼交換的證明密鑰(PKCE)對用戶進行身份驗證。
的信息是Auth0具體的,你的確可以使用Auth0作爲授權服務器爲您自己的API,同時仍保持谷歌認證的支持,但是,大多數理論也將適用於任何的OAuth 2.0兼容提供商。
披露:我是Auth0工程師。