标签：php authentication ios login google-plus

我想使用Google Plus登录在iOS应用中对我的用户进行身份验证.我已经按照https://developers.google.com/+/features/sign-in中描述的iOS指南进行操作.客户端的登录与Google平台完美配合.我还没有理解如何在服务器端验证用户身份.

我已经看到客户端上的访问令牌可以在https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=XYZ123某种程度上得到验证.通过验证用户通过HTTPS发送的访问令牌来验证客户端是否安全？

在客户端上使用Google登录按钮时是否有更好的解决方案？据我了解,Google建议使用Google登录按钮：

The Google+ Sign-In button is an easy way for users to sign up and sign in to your app. This allows you to know who they are on Google+ and to build a more personalized experience for your app, all without having to create yet another username and password

解决方法:

简短回答：是的.在iOS上,这是现在最好的方法.重要的是,您的验证会检查您想要的内容,通常是：

>客户端ID是项目的客户端ID.
>您只使用访问令牌中的用户ID
>令牌未过期

当您调用tokeninfo时,将自动处理到期和其他基本验证.只需确保检查客户端ID,并使用tokeninfo响应中的用户ID来查找本地用户.

{
 "issued_to": "1234.apps.googleusercontent.com",
 "audience": "1234.apps.googleusercontent.com",
 "user_id": "104824858261236811362",
 "scope": "https://www.googleapis.com/auth/plus.login",
 "expires_in": 3584,
 "access_type": "online"
}

这是响应的一个例子.客户端ID是此处的“受众”字段(实际上也是发布给),而user_id是Google用户ID – 这是您应该在数据库中查找以查找匹配的应用程序用户的内容.

在Android和Web上还有另外两个选项：检索ID令牌(基本上是一个加密签名的令牌,它直接包含与使用访问令牌调用tokeninfo的内容类似的信息),以及检索代码(可用于在服务器端交换访问令牌和id令牌).这两个目前在iOS上不可用,因此通过HTTPS传递访问令牌是目前最好的选择.

标签：php,authentication,ios,login,google-plus
来源： https://codeday.me/bug/20190629/1325819.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。