我正在尝试设置一个Google登录按钮,允许用户在我的网站上购买商品.
客户端身份验证看起来非常简单,但我很难理解服务器端身份验证的工作原理.在示例代码中,它们将客户端"代码"参数传递给服务器,在该服务器中可以交换访问令牌,然后可以使用该访问令牌来查看用户朋友的列表.
但我不想看到用户朋友的列表.我只是想确定客户实际上是他们声称的那个人.
检索令牌后,示例代码将令牌放入会话中,并且似乎使用令牌的存在来验证用户是否经过身份验证.这是正确/安全吗?应该(不)我的服务器以某种方式重新验证令牌(如何?)何时进行购买?我是否应该在每次请求时不断向Google重新验证令牌?(希望不是?)