我不清楚Google+ API平台如何处理会话。我的网络应用程序使用Google+登录按钮,在签名后,我收到了一个可用于API调用的身份验证代码。但Google+ API文档未指明如何从服务器端处理登录会话。他们提到的是如何在Javascript中处理它,如下所述:
https://developers.google.com/+/web/signin/session-state
它们指示检查status.signed_in状态,如果用户已登录,则该状态将设置为true,然后我的客户端脚本将相应地自定义UI。但对于需要用户已登录的证据的UI部分来说,这是无稽之谈。黑客也可以在Google的身份验证回调中设置断点,并将status.signed_in更改为true,使UI认为用户已登录每次重新加载页面时我都需要一种在服务器上进行验证的方法,以确定用户是否已登录。我怎么想这样做?
答案 0 :(得分:1)
如何在Javascript中处理它,如
所述
您引用的页面上的会话状态是指按钮中显示的状态。
从服务器端的角度来看,Google不会按站点提供与用户关联的状态。
黑客也可以在Google的身份验证回调中设置断点,并将status.signed_in更改为true,让UI认为是用户
这将显示已登录的UI,但不应该访问实际的用户详细信息。
您的网站可能授权用户服务器端的方式是验证从客户端安全传递的ID令牌或访问令牌。所有the Google+ quickstarts都会向您展示如何执行此操作并包含入门说明。