我使用google auth2.0作为休息服务(网络单页应用)。 我只是用它来识别和注册用户。
我的问题是关于令牌和安全性的最佳实践管理。
用户通过googleAuth注册后,他可以读取和写入一些数据,每次他读/写客户端都必须发送id_token,服务器在允许任何操作之前验证(使用google-auth-library)时间戳。
这是正确的方法吗?
我应该将令牌存储在数据库中吗?
因为令牌很长(~1000个字符)是否有更好的方法来验证每个请求而不发送整个令牌并验证服务器端?
感谢
我只想证明除了身份服务之外我没有使用任何谷歌API服务。所有休息服务都在m后端服务器(nodejs)中实现我只需要在每次尝试通过我的nodejs服务器读取或写入我的应用程序资源时识别用户。我可以用某种方式使用谷歌access_token ???或者我每次都要验证google id_token?