Oauth2 в маркере доступа / обновления на стороне сервера

Question

Мы пытаемся реализовать Oauth2 в нашем приложении, в нашем приложении мы используем логин, используя Sign In with Google, и это возвращает много таких вещей, как: UID, ACCESS_TOKEN, REFRESH_TOKEN и т. Д. мы думаем отправить из приложения на сервер UID и сохранить его в БД, связанной с пользователем, как если бы это был его пароль.

Со стороны сервера мы хотим при каждом вызове, например: get_products, мы думаем использовать access_token, но мы не знаем, является ли это UID от самого пользователя, или нам нужно создать еще один access_token со своим refres_token со временем истечения. Таким образом, у нас есть один UID от пользователя, а другой access_token и refresh_token от oauth.

Answer 1

Я не уверен насчет значения, которое вы указываете UID. Может быть, это то, с чем я раньше не сталкивался.

Но если это расшифровывается как USER IDENTIFIER, вам не следует использовать его для идентификации конечного пользователя и поддержания сеанса. UID может быть общедоступным идентификатором, поэтому любой, кто знает, сможет связаться с вашим сервером. Кроме того, подумайте о входе пользователя через несколько устройств. Ваш сервер не сможет определить правильный сеанс.

Пользователь access_token, чтобы начать сеанс. На вашем сервере используйте конечную точку информации о пользователе , чтобы получить сведения о достоверности и информацию о конечном пользователе. В качестве альтернативы вы можете выбрать OpenID Connect.