Должен ли я проверять Google tokenID на каждом запросе?
Я внедряю функцию входа с помощью google для веб-сайта. Мне удалось войти в систему пользователя с помощью Google Javascript API. Он заявил google, что как только мы получаем tokenID, мы должны проверить его на бэкэнд-сервере, чтобы убедиться, что текущий пользователь, вошедший в систему, является действительным.
Https://developers.google.com/identity/sign-in/web/backend-auth
Мне удалось реализовать проверку на стороне сервера, сомнение, которое у меня есть, заключается в том, что я должен проверять токенид в серверной части для каждого запроса пользователя ?, или я должен проверить его для каждого действия пользователя ?или есть другой подход к этому ?
Может ли кто-нибудь указать мне правильный путь ? Спасибо
1 ответ:
Если сервер не создает сеансы, вам не нужно отправлять или проверять id_token. Если вам нужны сеансы, отправьте id_token на сервер и проверьте. Например, если вы хотите персонализировать пользователя и сохранить его данные на сервере, пожалуйста, отправьте и проверьте id_token.
Проверка id_token необходима только один раз при создании сеанса. id_token-это доказательство того, что Google аутентифицировал пользователя, которому вы можете доверять, пока он правильно проверен. Как только сеанс истекает, вы должны проверить id_token снова, так как id_token имеет дату/время истечения срока действия.