通过Android应用程序将Google Plus安全登录到Web应用程序
我正在开发一个Android应用程序,我希望用户使用Google+登录来登录我的应用程序 目前,我在PHP登录脚本中传递从Google+获得的用户名。脚本将加载具有用户ID的新会话 目前,该网站非常不安全:任何知道其他用户用户名的人都有可能以他们的身份登录 这样做的安全方法是什么 如何针对我的服务器授权用户 在我看来,Google+纯粹是一个社交网络API…Google Plus使用OAuth 2.0 它具有身份验证令牌。您可以使用auth令牌从Android或服务器访问Google Plus。通过Android应用程序将Google Plus安全登录到Web应用程序,android,google-plus,Android,Google Plus,我正在开发一个Android应用程序,我希望用户使用Google+登录来登录我的应用程序 目前,我在PHP登录脚本中传递从Google+获得的用户名。脚本将加载具有用户ID的新会话 目前,该网站非常不安全:任何知道其他用户用户名的人都有可能以他们的身份登录 这样做的安全方法是什么 如何针对我的服务器授权用户 在我看来,Google+纯粹是一个社交网络API…Google Plus使用OAuth 2.0 它具有身份验证令牌。您可以使用auth令牌从Android或服务器访问Google Plus
在服务器上,您可以通过使用该令牌访问Google来验证令牌。Google+登录使用OAuth 2.0-这意味着用户不直接向您的服务器进行身份验证。取而代之的是,他们通过谷歌认证并获得一个由谷歌签名的令牌。你的应用程序(从Android上的Google Play services)获得该令牌,并可以将其传递给你的服务器,作为用户通过Google认证的证据。然后将用户Google+ID与您自己服务器上的新用户ID或现有用户ID关联。因此,无论何时,只要用户能够证明他们通过了Google针对特定Google+用户ID的身份验证,您就可以将他们视为在您自己的服务器上进行了身份验证 要实现,您有几个选项,具体取决于您构建系统的方式:
GoogleAuthUtils.getToken()
为他们获取ID令牌并将其传递给服务器。在验证Google签名后,您的服务器可以安全地将用户会话与相应的用户帐户和权限关联(即将会话视为已验证)。获取令牌和验证令牌的过程由和讨论李>