Authentication 我使用哪个Google OAuth2.0令牌来唯一标识用户并登录
我正在尝试从中设置GoogleOAuth2.0,我已经设置好并运行了所有内容。我可以获得授权Authentication 我使用哪个Google OAuth2.0令牌来唯一标识用户并登录,authentication,google-oauth,google-login,google-openid,Authentication,Google Oauth,Google Login,Google Openid,我正在尝试从中设置GoogleOAuth2.0,我已经设置好并运行了所有内容。我可以获得授权code,access\u-token,以及refresh\u-token,以显示在我的控制台中。我的问题是,我可以使用这些令牌中的哪一个来正确识别用户并将其登录到我的后端 在正常情况下,用户将输入用户名和密码,这将唯一地标识他们。然而,在Google OAuth2.0案例中,似乎授权code、access\u token和refresh\u token都不能用于正确识别和登录某人。这种理解正确吗 我读了
code
,access\u-token
,以及refresh\u-token
,以显示在我的控制台中。我的问题是,我可以使用这些令牌中的哪一个来正确识别用户并将其登录到我的后端
在正常情况下,用户将输入用户名和密码,这将唯一地标识他们。然而,在Google OAuth2.0案例中,似乎授权code
、access\u token
和refresh\u token
都不能用于正确识别和登录某人。这种理解正确吗
我读了一篇文章,但它似乎没有提供一个最近的答案,也安全地识别登录的用户
如果我不能使用上面提到的任何令牌来安全地识别和登录用户,那么这可能吗?我怎么会看到其他网站和应用程序使用“使用谷歌登录”和“使用Facebook登录”
他说只需要获取帐户ID并将其用作标识符。这不是很不安全吗?有人猜不到帐号吗?此外,这将假定这些帐户ID是私有的
我的问题是,我可以使用这些令牌中的哪一个来正确识别用户并将其登录到我的后端
open id connect中的id令牌
解释
您混淆了授权和身份验证
Oauth2授予并授权应用程序访问其数据的用户访问令牌允许您在有限的时间(1小时)内访问其数据。如果用户离线,您可以使用刷新令牌请求新的访问令牌。所有这些都不会告诉你电话背后有用户
open id connect允许您身份验证登录的用户将返回一个id令牌
Id令牌验证
通过HTTPS POST接收ID令牌后,必须验证令牌的完整性 尽管id_令牌在每次OpenID Connect API调用中都会发生变化,但我仍然可以存储它?我是否只需解压缩id_令牌(使用一些JWT库)并验证信息是否正确?实际上没有任何点来存储id令牌。正如我所说的,它定义了一个用户在屏幕后面进行呼叫,存储它将破坏这个目的。它是一个jwt,包含有关已登录用户的信息。如果你只想知道你有权使用访问令牌访问谁的帐户,请查看用户令牌端点。嗯,假设我有一个来自google的真实的id\u令牌-abcd1234
。如何从后端检查此id\u令牌
是否合法?其他人只需发送一个假的JWT令牌,其中只包含我的电子邮件-efgh5678
。当我在后端解包这个令牌时,我应该寻找哪个字段?检查我的编辑google有关于令牌验证的说明。