我只想验证从javascript获取的用户访问令牌 .
我正在使用 Spring 季休息服务 .
我已经看到了这个:https://developers.google.com/identity/sign-in/web/server-side-flow但是我想找到facebook和google的确切代码 .
有没有人有任何代码片段来共享或指导任何github . 包括依赖项也因为那些也会产生一些冲突 .
我的个人解决方案是这个 . 它稳定吗?我会做简单的hhtp使用这2个网址https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=
https://graph.facebook.com/app?access_token并比较用户ID和电子邮件与名称是否匹配 .
如果有人从他们个人的Facebook登录结构中找到不同的应用程序(也就是说第三方网站也有facebook登录)并使用相同的令牌输入我的服务(将该令牌从第三方服务发送到我的服务api)可以我做了一些事情来验证这个用户访问令牌是否实际上是从我自己的登录系统收到的?因为这两个http获取没有秘密的api密钥或任何东西 . 谢谢
1 回答
例如,从这个googleapis html
Spectator "1058748273114-6srsjvvag80n2kk6mc3v6fv2i3jdlm.apps.googleusercontent.com"
显示确切的应用ID信息 . 通过这种方式,我可以验证此ID是否与我自己的个人应用ID相匹配 . 这样我至少可以验证谷歌
https://graph.facebook.com/v2.10/me?fields=id%2Cname&access_token=也很好检查以及上一个链接我也可以检查我的api数据和这个网址我可以检查该人 . 需要2次服务电话 .