Tôi làm cách nào để xác minh mã thông báo truy cập xác thực của Google?Tôi làm cách nào để xác minh mã thông báo truy cập API xác thực của Google?
Tôi cần bằng cách nào đó truy vấn Google và yêu cầu: Có [mã thông báo truy cập được cung cấp] hợp lệ cho tài khoản Google [[email protected]] không?
phiên bản ngắn:
Rõ ràng làm thế nào một thẻ truy cập được cung cấp thông qua các Google Authentication Api :: OAuth Authentication for Web Applications có thể được sử dụng để sau đó yêu cầu dữ liệu từ một loạt các dịch vụ của Google. Không rõ cách kiểm tra xem mã thông báo truy cập đã cung cấp có hợp lệ cho tài khoản Google đã cho hay không. Tôi muốn biết làm thế nào.
Phiên bản dài:
Tôi đang phát triển API sử dụng xác thực dựa trên mã thông báo. Mã thông báo sẽ được trả lại khi cung cấp tên người dùng + mật khẩu hợp lệ hoặc khi cung cấp mã thông báo của bên thứ ba từ bất kỳ dịch vụ nào trong số N có thể xác minh được.
Một trong các dịch vụ của bên thứ ba sẽ là Google, cho phép người dùng xác thực dựa vào dịch vụ của tôi bằng tài khoản Google của họ. Điều này sau đó sẽ được mở rộng để bao gồm các tài khoản Yahoo, các nhà cung cấp OpenID tin cậy và vân vân.
dụ Schematic của Google truy cập dựa trên:
alt text http://webignition.net/images/figures/auth_figure002.png
Các 'API' thực thể là dưới sự kiểm soát đầy đủ của tôi. Thực thể 'giao diện công khai' là bất kỳ ứng dụng dựa trên web hoặc máy tính để bàn nào. Một số giao diện công cộng nằm dưới sự kiểm soát của tôi, những giao diện khác sẽ không còn và những người khác mà tôi vẫn chưa bao giờ biết.
Vì vậy, tôi không thể tin tưởng mã thông báo được cung cấp cho API ở bước 3. Điều này sẽ được cung cấp cùng với địa chỉ email tài khoản Google tương ứng.
Tôi cần bằng cách nào đó truy vấn Google và yêu cầu: Mã thông báo truy cập này có hợp lệ cho [email protected] không?
Trong trường hợp này, [email protected] là số nhận dạng duy nhất của tài khoản Google - địa chỉ email mà ai đó sử dụng để đăng nhập vào tài khoản Google của họ. Điều này không thể được giả định là địa chỉ Gmail - ai đó có thể có tài khoản Google mà không cần có tài khoản Gmail.
Tài liệu Google nêu rõ cách thức, với mã thông báo truy cập, dữ liệu có thể được truy lục từ một số dịch vụ của Google. Không có gì có vẻ nhà nước như thế nào bạn có thể kiểm tra nếu một mã thông báo truy cập nhất định là hợp lệ ở nơi đầu tiên.
Cập nhật Mã thông báo hợp lệ cho dịch vụ N của Google. Tôi không thể thử một mã thông báo chống lại một dịch vụ của Google như là phương tiện xác minh nó vì tôi sẽ không biết tập hợp con nào của tất cả các dịch vụ của Google mà một người dùng cụ thể thực sự sử dụng.
Hơn nữa, tôi sẽ không bao giờ sử dụng mã thông báo truy cập xác thực của Google để truy cập bất kỳ dịch vụ nào của Google, chỉ đơn thuần là phương tiện xác minh người dùng Google thực sự là người mà họ cho biết. Nếu có một cách khác để làm điều này tôi rất vui khi thử.
Dịch vụ xác thực cụ thể nào là câu hỏi này về (OAut h, AuthSub, Ứng dụng đã cài đặt, ...)? Vui lòng cung cấp liên kết chi tiết hơn. –
@Martin v. Löwis: Dịch vụ 'Xác thực OAuth cho các ứng dụng web' - Tôi đã cập nhật phần bắt đầu của câu hỏi để phản ánh điều này. Cảm ơn bạn đã chỉ ra điều này! –
bài viết thú vị về xác minh khóa google có thể cung cấp thông tin chi tiết hơn http://groups.google.com/group/Google-Maps-API/msg/f9e3c5ad3cbda4d7 – dotjoe