Web 谷歌一键注册和自动登录实施指南

我正在努力实现谷歌的

我可以成功地提示用户登录，从Google获得ID令牌，并在服务器上验证它。我迷路的地方是，一旦我有了ID令牌，我该如何处理它？这是模糊的

---

我得到的印象是，我将一些内容发送回浏览器以存储在会话存储中，但我应该发送什么以及如何使用它来验证用户在将来的请求中是否经过身份验证。

如果您一直在该指南中“创建帐户或会话”，您已经基本解决了与Google Identity集成的问题

从谷歌的角度来看，没有什么可以回到浏览器。客户端API已检索到令牌，您已将其发送到服务器，服务器已使用它成功验证和提取用户的Google帐户信息，身份验证已完成

接下来发生的是你的决定。这取决于你的网站如何处理用户的详细信息（例如，在你的数据库中创建一个用户，在他们访问的剩余时间里做一些事情来记住他们）

谷歌身份不是授权，只是认证。它提供身份（“该用户是谁？”），而不是权限（“该用户可以做什么？”，“我应该信任此会话多长时间？”）。用户权限是另一个问题

---

为了记住用户将来的请求，您通常会在服务器上创建一个唯一的、一次性的、不可预测的会话令牌，并将其存储在一个仅限HTTP的安全会话cookie中。如前所述，这与Google Identity无关。

如果您在该指南中一直提到“创建帐户或会话”，那么您已经基本解决了与Google Identity集成的问题

从谷歌的角度来看，没有什么可以回到浏览器。客户端API已检索到令牌，您已将其发送到服务器，服务器已使用它成功验证和提取用户的Google帐户信息，身份验证已完成

接下来发生的是你的决定。这取决于你的网站如何处理用户的详细信息（例如，在你的数据库中创建一个用户，在他们访问的剩余时间里做一些事情来记住他们）

谷歌身份不是授权，只是认证。它提供身份（“该用户是谁？”），而不是权限（“该用户可以做什么？”，“我应该信任此会话多长时间？”）。用户权限是另一个问题

为了记住用户将来的请求，您通常会在服务器上创建一个唯一的、一次性的、不可预测的会话令牌，并将其存储在一个仅限HTTP的安全会话cookie中。如前所述，这与谷歌身份无关