Oauth 2.0 当授权服务器将浏览器重定向回重定向url时,如何知道哪个用户授权访问

Oauth 2.0 当授权服务器将浏览器重定向回重定向url时,如何知道哪个用户授权访问,oauth-2.0,Oauth 2.0,我正在开发一个Java Web应用程序,我有一个关于OAuth 2.0授权代码流的问题,如下所述: 此流使用GoogleAuthorizationCodeFlow实现。台阶 它们是: 最终用户登录到您的应用程序。你将需要联系 该用户的用户ID对于您的应用程序是唯一的 根据要调用的用户ID调用AuthorizationCodeFlow.loadCredential(字符串) 检查最终用户的凭据是否已知。如果是的话,我们是 完成了 如果不是,则调用AuthorizationCodeFlow.new

我正在开发一个Java Web应用程序,我有一个关于OAuth 2.0授权代码流的问题,如下所述:

此流使用GoogleAuthorizationCodeFlow实现。台阶 它们是:

  • 最终用户登录到您的应用程序。你将需要联系 该用户的用户ID对于您的应用程序是唯一的
  • 根据要调用的用户ID调用AuthorizationCodeFlow.loadCredential(字符串) 检查最终用户的凭据是否已知。如果是的话,我们是 完成了
  • 如果不是,则调用AuthorizationCodeFlow.newAuthorizationUrl()并 将最终用户的浏览器指向授权页面以授予您的授权 应用程序访问其受保护的数据
  • 谷歌授权 然后,服务器将浏览器重定向回重定向URL 由应用程序指定,以及代码查询参数。使用 使用请求访问令牌的代码参数 AuthorizationCodeFlow.newTokenRequest(字符串)
  • 使用AuthorizationCodeFlow.createAndStoreCredential(令牌响应,字符串) 存储和获取访问受保护资源的凭据
关于最后两个步骤,我的问题是:

当授权服务器将浏览器重定向回重定向url时,如何知道哪个用户授权访问?我得到的只是一个包含授权代码的代码查询参数

状态参数可以用于此吗?我已经读到,它应该被用来防止跨站点请求伪造,这是另一个目的。是否可以使用状态参数来获取关系

是的,我读过,但我不知道会话解决方案在我的场景中是否有效,因为我只有rest服务