私が取り組んでいるアプリは、次の 2 つの部分で構成されています。
- ネイティブ Android アプリ
- ウェブサービス
ユーザーの Google アカウントに基づくアプリと Web サービス間のログイン手順を実装したいと考えています。Google の開発者サイトを読んで、モバイル デバイスでユーザーに API プロジェクトを承認させる方法を理解しています。理解できないのは、それをサーバーに渡す方法と、ネイティブ Android アプリと私の Web サービスの間の通信をどのように処理するかです。 .
モバイル アプリが Google 認証サーバーに対して oauth2 を使用してアクセス トークンを取得したという事実は、サーバー側との通信をどのように保護しますか?
明確化
ネイティブ アプリが Google に対して認証プロセスを実行し、トークンを受け取ったとします。その後、アプリはユーザー プロファイルにアクセスし、彼のメール アドレスを取得できます。メール アドレスは確実に彼のものです。これで、ユーザーは POST データの電子メール アドレスを私のサービスに送信します。電子メールは彼のものですが、サーバーはそれを確認できません。したがって、アプリがサーバーに送信する URL パスと POST データ構文を誰かが見つけた場合、その呼び出しに任意の電子メール アドレスを挿入できるとしましょう。サーバーはどのようにして電子メールアドレスが有効であることを確認できますか?