После того, как я получил токен ID в моем проекте Android, мне нужно проверить целостность токена, и я сделал это, используя Google.Apis.Auth lib для C#. Но проблема в том, что любой мог легко отправить действительный токен Google на мою конечную точку, поэтому мне нужно проверить, был ли этот токен сгенерирован из моего приложения, а не случайно.
Итак, я проверяю токен с помощью:
var validPayload = await GoogleJsonWebSignature.ValidateAsync(model.IdToken);
И я получаю информацию о пользователе. Но как я могу проверить, пришел ли этот токен из идентификатора моего приложения?
Я нашел пример, где он передает аудитории «ID Client». Но что это за идентификатор клиента?
