Здрастуйте, я намагаюся здійснити вхід у Google+на моєму веб-сайті, я змусив працювати все, за винятком частини, де php перевіряє ідентифікатор google користувачів та електронну пошту, щоб побачити, чи є у них обліковий запис чи мені потрібно створити його.
Проблема, яку я маю, полягає в тому, як я можу це перевіритищо php отримує від javascript на клієнті насправді дійсне? Я маю на увазі, схоже, хтось міг би легко змінити сценарій, щоб надіслати будь-які ідентифікатори та електронну пошту користувачів Google, а потім увійти як будь-хто. Як мені це запобігти?
Я дотримувався цього керівництва Google https://developers.google.com/+/web/signin/add-button
Вони нічого не кажуть про те, як перевіритибекенд, користувач, який увійшов, справді є справжнім користувачем чи ні, я використовую неправильний для своєї мети, мені не потрібен автономний доступ до інформації їх облікового запису, лише коли вони увійшли на сайт і активні.
Відповіді:
1 для відповіді № 1На кроці 5 від вашого посилання є об’єкт авторизації результатів успіху. Це містить access_token. Цей access_token є секретом, який ідентифікуєі надає доступ на основі запитуваних дозволів певним користувачам, які отримали авторизацію. Передайте цей access_token своєму бекенду через XHR або інший метод і використовуйте його для подання автентифікованого запиту на people.get з UserId, встановленим на me. Це скаже вам, хто такий користувач, і якщо ви попросите його email застосовувати їх перевірену електронну адресу.