Oauth 2.0 在成功的代码交换后,我应该如何使用Google返回给我的id令牌?
我不清楚在初始验证后,我应该如何处理来自谷歌的id令牌 我正在开发expo/react native,并在本地获取id令牌。然后,我将它发送到我的服务器,并使用google客户端库进行验证。一旦确认了,我该怎么处理 理想情况下,我可以使用它来保护我的api路由(express),但id令牌在1小时后过期,我不知道如何使用客户端库刷新它们。所以,我不知道我该怎么做 这是id令牌的预期用途吗?我是否应该签署自己的jwt并将其发送回客户?然后,客户端可以在每个请求的auth头中将其发送到受保护的路由 谷歌表示: 验证令牌后,检查用户是否已在用户数据库中。如果是,请为用户建立经过身份验证的会话。如果用户尚未在您的用户数据库中,请根据ID令牌负载中的信息创建一个新的用户记录,并为该用户建立会话。当您在应用程序中检测到新创建的用户时,您可以提示用户输入所需的任何其他配置文件信息Oauth 2.0 在成功的代码交换后,我应该如何使用Google返回给我的id令牌?,oauth-2.0,google-oauth,openid-connect,google-signin,google-openid,Oauth 2.0,Google Oauth,Openid Connect,Google Signin,Google Openid,我不清楚在初始验证后,我应该如何处理来自谷歌的id令牌 我正在开发expo/react native,并在本地获取id令牌。然后,我将它发送到我的服务器,并使用google客户端库进行验证。一旦确认了,我该怎么处理 理想情况下,我可以使用它来保护我的api路由(express),但id令牌在1小时后过期,我不知道如何使用客户端库刷新它们。所以,我不知道我该怎么做 这是id令牌的预期用途吗?我是否应该签署自己的jwt并将其发送回客户?然后,客户端可以在每个请求的auth头中将其发送到受保护的路由
我是否使用id令牌“为用户建立会话”?是的,id令牌仅用于创建本地会话,如果使用了本地会话,可能还会在本地数据库中创建本地条目
ID令牌的生命周期也很短,在某些系统中为5分钟。因此它没有长期用途。是的,ID令牌仅用于创建本地会话,如果使用了本地会话,可能还会在本地数据库中创建本地条目
ID令牌的生命周期也很短,在某些系统中为5分钟。因此它没有长期用途。ID令牌用于验证用户身份。它为您提供有关经过身份验证的用户的信息,不应使用它来允许访问您的端点。访问令牌或会话旨在这样做。因此,在您的情况下,您应该完全按照您的直觉来做——根据您在ID令牌中获得的数据为用户创建一个会话
如果您有自己的授权服务器,您可以使用ID令牌颁发访问令牌并将令牌返回到前端应用程序,然后使用访问令牌访问后端。如果您想这样做,请查看OAuth流。ID令牌用于对用户进行身份验证。它为您提供有关经过身份验证的用户的信息,不应使用它来允许访问您的端点。访问令牌或会话旨在这样做。因此,在您的情况下,您应该完全按照您的直觉来做——根据您在ID令牌中获得的数据为用户创建一个会话 如果您有自己的授权服务器,您可以使用ID令牌颁发访问令牌并将令牌返回到前端应用程序,然后使用访问令牌访问后端。如果您想这样做,请查看OAuth流