Google plus 谷歌+;已部署登录按钮,页面是否可以在没有服务器$\u会话的情况下限制访问?
说出用户可以更新其个人档案的页面:Google plus 谷歌+;已部署登录按钮,页面是否可以在没有服务器$\u会话的情况下限制访问?,google-plus,google-api-client,Google Plus,Google Api Client,说出用户可以更新其个人档案的页面:profile\u update.php?id=1234567…(用户的谷歌id) 问题: 如何使用返回的authResult或me限制访问?(我的意思是对象中的哪一项会有帮助,而不是如何取出这些项) 或者我仍然需要为此构建服务器端$\u会话吗?您可以使用auth结果在客户端执行一些验证,但您还需要验证您在服务器端收到的请求是否来自您认为来自的人,以防止跨站点请求伪造攻击。因此,您需要验证更新配置文件的帖子是否来自经过身份验证的用户,而不仅仅是帖子数据的格式是否
profile\u update.php?id=1234567
…(用户的谷歌id)
问题:
如何使用返回的authResult
或me
限制访问?(我的意思是对象中的哪一项会有帮助,而不是如何取出这些项)
或者我仍然需要为此构建服务器端
$\u会话吗?您可以使用auth结果在客户端执行一些验证,但您还需要验证您在服务器端收到的请求是否来自您认为来自的人,以防止跨站点请求伪造攻击。因此,您需要验证更新配置文件的帖子是否来自经过身份验证的用户,而不仅仅是帖子数据的格式是否正确。因此,通常情况下,您的表单将发送一个特定代码(CSRF令牌),并且该令牌必须存在于用户的cookie中(或者服务器端会话令牌,在PHP中可以通过$\会话访问)