Можно ли использовать токен Google SignIn во всем приложении?

Question

Я реализовал приложение для Android с Google Signin. После успешного входа в Google клиентское приложение получает токен и отправляет его в API весенней загрузки. Он проверяет токен Google и получает информацию о пользователе.

Мои вопросы следующие:

1. Можно ли использовать этот токен для авторизации моего весеннего загрузочного API? Если да, то как?

2. Если нет, то какой еще вариант?

3. Нужно ли создавать токен доступа и обновлять токен для всех других запросов между клиентом и сервером?

Answer 1

Я бы не советовал использовать токен Google по нескольким причинам: -

1. Срок действия этого токена будет ограничен
2. Этот токен не будет содержать необходимую информацию, которая может вам понадобитьсяпозже на стороне сервера.
3. По мере роста вашего приложения вам может понадобиться добавить роли в целях безопасности, которые не будут выполняться маркером Google
4. Ваша потребность в сроке действия будет отличаться от Google 101 **
5. Вам может потребоваться зашифровать токен, который не может быть использован каким-либо другим приложением.

Хорошая идея - проверить токен Google на стороне сервера, а затем создать свой собственный токен и обновить токен. Это даст вам больше контроля над вашей заявкой.