У Google есть хорошая статья, касающаяся аутентификации с бэкэндом . Я приветствую вас, чтобы пройти через это и понять его предложения.
Согласно этому документу Google предоставляет клиентские библиотеки для проверки идентификационного токена. Также есть возможность использовать tokeninfo конечную точку.
После проверки вы можете создать кеш или сохранить проверенные данные для дальнейшего использования. Но это зависит от точного требования.
Если вы можете поддерживать контекст для каждого проверенного токена, то вы можете создать сеанс поверх проверки токена. Эта сессия должна иметь действительность, связанную с действительностью токена. Но если такой сеанс невозможен, вам потребуется проверка токена для каждого запроса (действительно дорогостоящего, но необходимого в зависимости от условий использования).
Если вы ведете сеанс, вы можете создать конечную точку для прослушивания событий безопасности Google, которая позволяет удалять постоянные данные на основе угроз безопасности. Это подчеркивается в аутентификации со статьей бэкэнда и может быть доступно по этой ссылке