JJ *_*ell 4 google-authentication oauth-2.0 google-oauth google-signin google-identity
我有一个 SPA 和一个后端 API 服务。谷歌用户登录 SPA,此时我获得他们的访问令牌和 ID 令牌。
后端服务使用 google 身份来使用 id 令牌对其用户进行身份验证。然而,后端服务功能之一需要从谷歌分析 API 请求数据,这需要用户访问令牌。
在这种情况下,我是否将 id 令牌和访问令牌都发送到我的后端服务?
是的,在这种情况下,您可以将访问令牌发送到后端服务,以便它可以联系 Google 的 API。在大多数情况下,访问令牌用作不记名令牌,这意味着拥有该令牌的任何客户端都可以使用它来调用 API。这就是为什么您可以将颁发给 SPA 的令牌传递给后端服务,并且仍然能够调用 Google 的 API。
同时,您应该考虑安全影响。您不应将访问令牌发送到您无法控制的任何服务。这意味着,您不应该将访问令牌发送到服务 XYZ,因为如果服务 XYZ 不在您的控制之下,该服务需要它使用用户令牌调用 Google 的 API。
| 归档时间: |
|
| 查看次数: |
1907 次 |
| 最近记录: |