使用Google登录按钮无需服务器即可对用户进行身份验证

时间:2019-05-06 06:29:53

标签: javascript login google-api

Google提供了一个简单的登录按钮: https://developers.google.com/identity/sign-in/web/sign-in#before_you_begin

此按钮在成功登录后会调用函数“ onSignIn”

<div class="g-signin2" data-onsuccess="onSignIn"></div>

我正在考虑在“ onSignIn”函数中调用我的一个API,并生成一个令牌并保存在用户的浏览器中。下次用户发送API请求时,我计划使用标头中的这些令牌来验证API访问。

这是使用此Google小部件的合法方法吗?还是我实际上必须使用OAuth等?

1 个答案:

答案 0 :(得分:1)

坦率地说,由于Google ID tokens可以满足您的确切需求,因此您不需要在API端点上增加令牌生成的复杂性。

因此考虑将用户的ID令牌发送到您的API,然后在服务器上将verify the integrity的ID令牌发送给用户,以授权用户权限。

此外,如果您需要将附加信息与每个用户会话/帐户相关联,则可以在补充数据库中使用相同的体系结构。有关更全面的指南,请参见this文章。