1
我正在創建一個Android應用程序,並希望使用SSO使用戶可以使用他們的Google或Facebook帳戶輕鬆登錄到應用程序。該應用程序將其數據存儲到服務器,以便用戶可以從不同的設備訪問它。在服務器上,我計劃使用用戶的電子郵件來識別用戶。在客戶端 - 服務器設置中實現安全SSO
在客戶端上,我知道電子郵件屬於用戶,但服務器如何確保它是真正的用戶,而不是將其他用戶的郵件地址發送到服務器的攻擊者?
我是否必須獲取訪問令牌並將其連同電子郵件一起發送到服務器,並讓服務器使用此令牌驗證電子郵件,還是有其他事情可以做?
由於我只對登錄的電子郵件感興趣,只需取回一次郵件地址並在客戶端記住它,直到用戶退出我的應用程序爲止。但是,如果我需要保留訪問令牌,那麼我需要定期檢查它是否過期,並在需要時進行更新。