你好,我正在尝试在我的网站上实现Google+登录,除了php将检查用户谷歌ID和电子邮件以查看他们是否有帐户或我需要为他们创建一个帐户之外,我已经完成了所有工作。
我遇到的问题是如何验证php从客户端上的javascript接收到的内容是否有效?我的意思是,似乎有人可以很容易地修改脚本,发送任何谷歌用户ID和电子邮件,然后以任何人的身份登录。如何防止这种情况发生?
到目前为止,我一直在关注这个谷歌指南https://developers.google.com/+/web/签名/添加按钮
他们没有说明如何在后端验证登录的用户是否真的是真正的用户,我是不是出于我的目的使用了错误的用户,只有当他们登录到网站并处于活动状态时,我才需要离线访问他们的帐户信息。
在链接的第5步中,有一个成功结果的授权对象。这包含一个access_token。这个access_token是一个秘密,它根据请求的权限识别并授予被授权的特定用户访问权限。通过XHR或其他方法将此access_token传递到后端,并使用它向people.get发出经过身份验证的请求,其中userId设置为me。这将告诉你用户是谁,如果你请求email作用域,他们的验证电子邮件地址。