允许用户使用其Google凭据访问您的应用的最佳方式
dde*_*ele 7 security authentication android oauth-2.0 google-oauth
如果您的Android应用程序需要用户注册,并且您希望允许您的用户通过Google登录,那么您将如何处理?
我想在此处继续讨论Google+登录.我们也没有使用用户凭据访问Google API,我对Google+的社交功能的其他访问权限不感兴趣.
似乎有很多选择:
使用OAuth2.0进行身份验证
在Google OAUth2登录页面中记录
这并没有真正提到Android,但它(部分)基于OAuth2访问令牌,但更重要的是基于JSON Web令牌id_token的验证.
这种对用户进行身份验证的方法还包括启动WebView以允许用户登录其Google帐户以及相当复杂的id_token验证.
使用OAuth2/Google Play服务
Google Play服务中的一个示例更侧重于授权.它使用GoogleAuthUtil.getToken来检索access_token.它的一部分肯定是身份验证,因为对话框指出"登录到...".
我是否正确地认为使用带有access_token的OAuth2.0流作为身份验证机制是一种不好的做法?(将访问令牌存储为身份验证令牌).
支持Facebook/Twitter登录
我问的原因是因为Twitter和Facebook建议您实施"登录..."身份验证过程
这似乎也完全基于OAuth访问令牌.
我不知道的任何其他选项允许您使用他们的Google帐户验证用户?
你需要的是这个 http://android-developers.blogspot.com/2013/01/verifying-back-end-calls-from-android.html
即获取 ID 令牌并使用它登录到应用程序的后端。
你是对的。一般来说,使用访问令牌进行身份验证不是一个好主意。我们已经做了多次演示来提醒开发人员注意这一点。 https://docs.google.com/presentation/d/1klTZheiQIhcty6MKvTYS12cw1Vyn4T1R4d60QCRYM60/edit?usp=drive_web
如果没有其他选项并且只有访问令牌,您也许可以进行一些额外的验证以使用它来登录并缓解潜在的安全问题。OpenIDCOnnect 中设计 ID Token 是有原因的,即用于身份验证。
| 归档时间: |
|
| 查看次数: |
3663 次 |
| 最近记录: |