Ich schreibe eine Anwendung und verwende OAuthZur Authentifizierung und zum Abrufen der E-Mail eines Benutzers. Ich authentifiziere mich erfolgreich, bin aber nicht sicher, wie die Sitzung verwaltet wird. Ich möchte meine Ressourcen schützen, aber ich glaube nicht, dass ich mich jedes Mal erneut authentifizieren möchte, wenn ein Benutzer zu einem neuen Benutzer geht Seite.
Aktueller Durchfluss
- Nutzer klickt auf "Mit Google anmelden"
- Der Nutzer wird an Google weitergeleitet, um die Anforderung zu bestätigen
- Der Server erhält ein Token bei der Genehmigung des Benutzers
- Server verwendet Token, um E-Mails abzurufen
Was jetzt?
Ich verwende OAuth2 für die Dienste, die dies unterstützen (Facebook, Google) und OAuth1a für diejenigen, die dies nicht tun.
Ich hatte Probleme bei der Suche nach Benutzern für die Rückgabe von Benutzernund Beibehalten der Authentifizierung während der Zeit eines Benutzers auf der Website. Gibt es gute Ressourcen für bewährte Verfahren zum Verwalten von Sitzungen oder zum Zurückgeben von Benutzern?
Antworten:
0 für die Antwort № 1Wenn sich ein Benutzer über Google anmeldet, wird Ihre App dies tunHolen Sie sich ein Token-Paar (Refresh + Access). Sie können das Zugriffstoken verwenden, um die Ressourcen des Benutzers abzurufen, und das Aktualisierungstoken verwenden, um bei Bedarf mehr Zugriffstoken zu erhalten. Ihre App kann mehr Zugriffstoken erhalten, indem Sie die Aktualisierungstoken austauschen, als Sie es benötigen. Token aktualisieren ist die Antwort, wenn der Anbieter es zur Verfügung stellt.
Weitere Details, wie dies auf Facebook möglich ist, können Sie hier sehen - Aktualisieren Sie Token und Zugriffstoken in der Facebook-API
Der in den Kommentaren zu der Frage erwähnte Link enthält eine gute Antwort, die Sie sehen sollten. Fühlen Sie sich frei, um weitere Fragen zu stellen.