ฉันจะตรวจสอบโทเค็นการเข้าถึงการตรวจสอบสิทธิ์ของ Google ได้อย่างไร
ฉันต้องการสอบถาม Google และถาม: [โทเค็นการเข้าถึงที่ได้รับ] ถูกต้องสำหรับบัญชี Google [example@example.com] หรือไม่
เวอร์ชันสั้น :
มีความชัดเจนว่าโทเค็นการเข้าถึงที่ให้มาผ่านGoogle Authentication Api :: OAuth Authentication สำหรับแอปพลิเคชันเว็บสามารถใช้เพื่อขอข้อมูลจากบริการต่างๆของ Google ได้อย่างไร ไม่มีความชัดเจนในการตรวจสอบว่าโทเค็นการเข้าถึงที่ระบุนั้นถูกต้องสำหรับบัญชี Google ที่ระบุหรือไม่ ฉันต้องการทราบวิธีการ
เวอร์ชันยาว :
ฉันกำลังพัฒนา API ที่ใช้การตรวจสอบความถูกต้องโดยใช้โทเค็น โทเค็นจะถูกส่งคืนเมื่อมีการระบุชื่อผู้ใช้ + รหัสผ่านที่ถูกต้องหรือเมื่อมีการจัดหาโทเค็นของบุคคลที่สามจากบริการใด ๆ ที่สามารถตรวจสอบได้N
หนึ่งในบริการของบุคคลที่สามคือ Google ซึ่งอนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์กับบริการของฉันโดยใช้บัญชี Google ของตน ต่อไปจะขยายไปถึงบัญชี Yahoo ผู้ให้บริการ OpenID ที่เชื่อถือได้เป็นต้น
ตัวอย่างแผนผังของการเข้าถึงโดยใช้ Google:
ข้อความแสดงแทน http://webignition.net/images/figures/auth_figure002.png
เอนทิตี 'API' อยู่ภายใต้การควบคุมของฉัน เอนทิตี 'อินเทอร์เฟซสาธารณะ' คือแอปบนเว็บหรือเดสก์ท็อป อินเทอร์เฟซสาธารณะบางส่วนอยู่ภายใต้การควบคุมของฉันส่วนอื่น ๆ จะไม่เป็นและอื่น ๆ ที่ฉันอาจไม่เคยรู้มาก่อน
ดังนั้นฉันจึงไม่สามารถเชื่อถือโทเค็นที่ให้มากับ API ในขั้นตอนที่ 3 สิ่งนี้จะถูกส่งมาพร้อมกับที่อยู่อีเมลของบัญชี Google ที่เกี่ยวข้อง
ฉันต้องการสอบถาม Google และถามว่า: โทเค็นการเข้าถึงนี้ถูกต้องสำหรับ example@example.comหรือไม่
ในกรณีนี้ example@example.com คือตัวระบุเฉพาะของบัญชี Google ซึ่งเป็นที่อยู่อีเมลที่ผู้อื่นใช้เพื่อเข้าสู่ระบบบัญชี Google ของตน ไม่สามารถสันนิษฐานได้ว่าเป็นที่อยู่ Gmail - บางคนสามารถมีบัญชี Google ได้โดยไม่ต้องมีบัญชี Gmail
เอกสารของ Google ระบุไว้อย่างชัดเจนว่าด้วยโทเค็นการเข้าถึงข้อมูลสามารถดึงข้อมูลจากบริการต่างๆของ Google ได้อย่างไร ดูเหมือนจะไม่มีอะไรระบุว่าคุณจะตรวจสอบได้อย่างไรว่าโทเค็นการเข้าถึงที่ระบุนั้นถูกต้องตั้งแต่แรกหรือไม่
อัปเดต โทเค็นใช้ได้กับ N บริการของ Google ฉันไม่สามารถลองใช้โทเค็นกับบริการของ Google ในการยืนยันได้เนื่องจากฉันไม่รู้ว่าบริการส่วนย่อยใดของ Google ทั้งหมดที่ผู้ใช้ใช้จริง
นอกจากนี้ฉันจะไม่ใช้โทเค็นการเข้าถึงการตรวจสอบความถูกต้องของ Google เพื่อเข้าถึงบริการใด ๆ ของ Google เป็นเพียงวิธีการตรวจสอบว่าผู้ใช้ Google ที่ควรจะเป็นจริงนั้นเป็นใคร หากมีวิธีอื่นในการดำเนินการนี้ฉันยินดีที่จะลอง