Android 安卓谷歌&x2B；一场

我在我的应用程序中使用Google+身份验证，允许用户登录并访问我服务器上的“数据”

身份验证过程将遵循以下步骤：

用户使用应用程序上的Google+登录，并收到访问令牌

用户将此令牌传递给服务器

服务器使用此令牌验证用户是否就是他们所说的用户（按照所示的过程）。服务器可以根据需要返回数据

这是我一直坚持的部分-我如何在不每次向谷歌服务器发出请求的情况下验证用户是否是他们所说的未来请求的用户？我是否将会话令牌返回给所使用的客户端应用程序，并在一段时间后重新生成该令牌

---

当然。发送会话cookie正是要做的事情。

您需要使用ID令牌来验证用户是否是他们所说的用户。有一个问题

---

此外，您应该向服务器传递一次性授权代码，而不是访问令牌。有关详细信息，请参阅文档。当您拥有该代码时，您会将其发送到后端，然后将该一次性代码交换给服务器自己的用户访问和刷新令牌副本。由于您在后端直接从谷歌接收令牌，因此它们比在移动应用程序和后端之间发送令牌更安全。

移动设备发送的令牌有效期为一小时，并且只能验证用户的真实性和检索用户ID，因此这不存在任何安全问题。我不希望检索有关用户的任何其他详细信息，因此这对我来说已经足够了。我目前正在使用最初作为会话cookie发送给我的令牌（将其缓存在我的数据库中）。因为这个令牌只从Google检索用户ID，所以我看不出有任何安全问题，可以吗？生成一个单独的会话cookie是否有优势？如果有，用php/mysql实现这一点的最佳方法是什么？