Google提供了一个简单的登录按钮: https://developers.google.com/identity/sign-in/web/sign-in#before_you_begin
此按钮在成功登录后会调用函数“ onSignIn”
<div class="g-signin2" data-onsuccess="onSignIn"></div>
我正在考虑在“ onSignIn”函数中调用我的一个API,并生成一个令牌并保存在用户的浏览器中。下次用户发送API请求时,我计划使用标头中的这些令牌来验证API访问。
这是使用此Google小部件的合法方法吗?还是我实际上必须使用OAuth等?
答案 0 :(得分:1)
坦率地说,由于Google ID tokens可以满足您的确切需求,因此您不需要在API端点上增加令牌生成的复杂性。
因此考虑将用户的ID令牌发送到您的API,然后在服务器上将verify the integrity的ID令牌发送给用户,以授权用户权限。
此外,如果您需要将附加信息与每个用户会话/帐户相关联,则可以在补充数据库中使用相同的体系结构。有关更全面的指南,请参见this文章。