Bir Google kimlik doğrulama erişim jetonunu nasıl doğrulayabilirim?
Bir şekilde Google'ı sorgulamam ve şunu sormam gerekiyor: [erişim belirteci verildi], [example@example.com] Google hesabı için geçerli mi?
Kısa versiyon : Google Authentication Api :: OAuth Authentication for Web Applications
aracılığıyla sağlanan bir erişim jetonunun daha sonra çeşitli Google hizmetlerinden veri talep etmek için nasıl kullanılabileceği açıktır . Belirli bir erişim jetonunun belirli bir Google hesabı için geçerli olup olmadığının nasıl kontrol edileceği açık değildir. Nasıl olduğunu bilmek isterim.
Uzun sürüm :
Belirteç tabanlı kimlik doğrulama kullanan bir API geliştiriyorum. Bir belirteç, geçerli bir kullanıcı adı + parola sağlanması veya N doğrulanabilir hizmetin herhangi birinden bir üçüncü taraf belirtecinin sağlanması üzerine iade edilecektir .
Üçüncü taraf hizmetlerinden biri Google olacak ve bir kullanıcının kendi Google hesabını kullanarak hizmetim için kimlik doğrulaması yapmasına izin verecek. Bu daha sonra Yahoo hesaplarını, güvenilir OpenID sağlayıcılarını ve benzerlerini içerecek şekilde genişletilecektir.
Google tabanlı erişimin şematik örneği:
alternatif metin http://webignition.net/images/figures/auth_figure002.png
'API' varlığı tam kontrolüm altında. "Genel arayüz" varlığı, herhangi bir web veya masaüstü tabanlı uygulamadır. Bazı halka açık arayüzler benim kontrolüm altında, diğerleri olmayacak ve diğerleri hala hiç bilmeyeceğim.
Bu nedenle, 3. adımda API'ye sağlanan jetona güvenemiyorum. Bu, ilgili Google hesabı e-posta adresiyle birlikte sağlanacaktır.
Bir şekilde Google'ı sorgulamalı ve şunu sormam gerekiyor: Bu erişim jetonu example@example.com için geçerli mi?
Bu durumda, example@example.com, Google hesabının benzersiz tanımlayıcısıdır - birinin Google hesabına giriş yapmak için kullandığı e-posta adresi. Bunun bir Gmail adresi olduğu varsayılamaz - birisi Gmail hesabı olmadan da bir Google hesabına sahip olabilir.
Google dokümanları, bir erişim jetonuyla verilerin bir dizi Google hizmetinden nasıl alınabileceğini açıkça belirtir. Verilen bir erişim belirtecinin ilk etapta geçerli olup olmadığını nasıl kontrol edebileceğinizi hiçbir şey belirtmiyor gibi görünüyor.
Güncelleme Jeton, N Google hizmeti için geçerlidir. Belirli bir kullanıcının gerçekte hangi Google hizmetlerinin hangi alt kümesini kullandığını bilemeyeceğim için, bir Google hizmetine karşı bir jetonu doğrulama aracı olarak deneyemiyorum.
Ayrıca, herhangi bir Google hizmetine erişmek için Google kimlik doğrulama erişim jetonunu asla kullanmayacağım, yalnızca sözde bir Google kullanıcısının gerçekte söylediği kişi olduğunu doğrulamanın bir yolu olarak. Bunu yapmanın başka bir yolu varsa, denemekten mutluluk duyarım.