Как я могу подтвердить вход в систему с помощью Google API, oauth?

Question

Я хочу использовать google oauth api для входа на сайт, который я создаю.

Я использую react и node, и я закончил получать текущий access_token, но я незнаете, как узнать, вошел ли пользователь в систему.

• Должен ли я проверять access_token пользователя каждый раз, когда пользователь вызывает API моего сайта?

• Если это правильно, должен ли access_token удерживаться клиентом?

• Разве это не проблема безопасности?

Я много занимался поиском, но не знаю, как управлять access_token и как проверить, вошел ли пользователь в систему.

Это статья на которую я ссылаюсь

Answer 1

Должен ли я проверять access_token пользователя каждый раз, когда пользователь вызывает API моего сайта?

Да. Единственные, которые вы не будете проверять, будут открытыми.

Если это правильно, должен ли access_token удерживаться клиентом?

Да, он может храниться вкуки, локальное хранилище ... Является ли спорным, что является лучшим решением, вы можете статьи, такие как this one

Разве это не проблема безопасности?

Нет. Любой желающий может проверить содержимое токена JWT (просто вставьте содержимое здесь ). Но дело в том, что его нельзя изменить или манипулировать. Конечно, желательно, чтобы он был таким же безопасным, как и пароль, поэтому не разглашайте его :)