Ich entwickle die REST-API, die mit Google OAuth2 gesichert wurde (mit Java, wenn das wichtig ist). Der Ansatz ist wie folgt:Google OAuth2 - Korrekte Verwendung?
- UI wird durch Google Authentifizierung und verfügt über:
google id
+token id
, google id
+token id
auf jede Anfrage API als Header sowohl gesendet,- REST-API verwendet URL https://www.googleapis.com/oauth2/v3/tokeninfo?id_token=token_id zu erhalten JSON ähnlich unten an (wo
token_id
kommen aus Request-Header):
JSON:
{
"iss": "accounts.google.com",
"iat": "14791197651",
"exp": "14795233651",
"at_hash": "xDLxhM85hTYU0KwU-rhPgg",
"aud": "541950199239-s1fag9iaes0s99g4feipe0ih0l75km1l.apps.googleusercontent.com",
"sub": "197763402127980067798",
"azp": "541950819239-s5fag9iaes9s99g4feipe0ih0l75km1l.apps.googleusercontent.com",
"alg": "RS256",
"kid": "db9e3d7cdd1b4178010f89af11cfd37400061afc"
}
und vergleicht sub
Wert google id
von dem Anforderungsheader,
- , wenn die Überprüfung bestanden wird und Benutzer durch
google id
in unserer Datenbank, so wird Benutzer verwenden autorisiert könnte den REST API (zusätzliche Logik angewandt werden).
Ist dieser korrekte Workflow oder zusätzliche Überprüfungen erforderlich?
Vielen Dank im Voraus für Ihre Hilfe.
Schön, danke! – user2770362