Android アプリケーションに Google+ サインインを統合しました。ここで、ユーザーのフレンド リストを取得してサーバーに保存する必要はありません。データは簡単に改ざんされる可能性があるため、クライアント アプリでフレンド リストを取得してサーバーに送信することができません。そこで、次のコードを使用してアクセス トークンを生成し、それをサーバーに送信することを考えました。サーバーはそれを使用して Google+ API にクエリを実行し、ユーザーの友達を取得します。
String accountName = Plus.AccountApi.getAccountName(mGoogleApiClient);
Account account = new Account(accountName, GoogleAuthUtil.GOOGLE_ACCOUNT_TYPE);
String scope = "oauth2:" + Constants.SCOPE_PLUS_LOGIN + " " + Constants.SCOPE_EMAIL;
try {
String accessToken = GoogleAuthUtil.getToken(getApplicationContext(), account, scope);
} catch (IOException | GoogleAuthException e) {
e.printStackTrace();
}
しかし、https を使用してサーバーに直接アクセス トークンを送信することは安全でしょうか? トークンが侵害された場合、第三者がそれを使用してユーザーの個人情報を盗むことができます。
または、サインインしているユーザーの友達リストを取得してサーバーに保存するより良い方法はありますか?