我正在開發一個Android應用程序,我希望用戶使用Google+登錄功能登錄到我的應用程序。安全Google Plus通過Android應用程序登錄到Web應用程序
目前,我在PHP登錄腳本中傳遞從Google+獲取的用戶名。該腳本使用用戶的ID加載新會話。
目前,該網站高度不安全:任何知道其他用戶的用戶名的人都可能以他們身份登錄。
什麼是安全的方法來做到這一點?
如何授權用戶對我的服務器?
它看起來像我和Google+純屬社交API ...
我正在開發一個Android應用程序,我希望用戶使用Google+登錄功能登錄到我的應用程序。安全Google Plus通過Android應用程序登錄到Web應用程序
目前,我在PHP登錄腳本中傳遞從Google+獲取的用戶名。該腳本使用用戶的ID加載新會話。
目前,該網站高度不安全:任何知道其他用戶的用戶名的人都可能以他們身份登錄。
什麼是安全的方法來做到這一點?
如何授權用戶對我的服務器?
它看起來像我和Google+純屬社交API ...
Google+登錄使用OAuth 2.0 - 這意味着用戶不直接與您的服務器進行身份驗證。相反,他們通過Google進行身份驗證並獲取由Google簽名的令牌。您的應用會從Android上的Google Play服務獲取該令牌,並將其傳遞到您的服務器,以證明用戶已通過Google驗證。然後,您將用戶的Google+ ID與您自己的服務器上的新的或現有的用戶ID相關聯。因此,無論用戶何時可以證明他們通過Google針對特定的Google+用戶標識進行身份驗證,您都可以在自己的服務器上對其進行身份驗證。
要實現,你有幾種選擇取決於你如何構建您的系統:
GoogleAuthUtils.getToken()
爲其獲取ID令牌,並將其傳遞到您的服務器。您的服務器在驗證Google簽名後,可以安全地將用戶會話與相應的用戶帳戶和權限相關聯(即將會話視爲已驗證)。獲取令牌並驗證它的過程由Tim Bray here和Ian Barber here討論。您可能想要在您的客戶端或服務器上創建Google API調用,以便您可以使用用戶的Google+個人資料中的數據預填充您的註冊表單。
谷歌加使用OAuth 2.0 https://developers.google.com/+/api/oauth
它的身份驗證令牌。您可以使用身份驗證令牌從Android或服務器訪問Google Plus。 在服務器上,您可以通過使用該令牌訪問Google來驗證令牌。