0
我正在編寫一個應用程序,並使用OAuth進行身份驗證和獲取用戶的電子郵件。我正在成功進行身份驗證,但我不確定如何管理會話。我想保護我的資源,但我不認爲每次用戶轉到新頁面時都要重新進行身份驗證。OAuth最佳實踐
電流
- 用戶點擊
- 用戶「與谷歌登錄」被重定向到谷歌批准的要求
- 服務器獲取用戶的認可令牌
- Server使用令牌獲取電子郵件
現在什麼?
我使用OAuth2支持它的服務(Facebook,Google)和OAuth1a。
我很難在用戶訪問網站時找到返回用戶流和維護身份驗證流。維護會話或返回用戶的最佳做法是否有良好的資源?
這可能有所幫助:http://stackoverflow.com/questions/13851157/oauth2-and-google-api-access-token-expiration-time – ikumen