0

誰か助けてくれませんか...?アプリのログインに Google サインインを使用したいと考えています。サーバーの前でユーザーの適切な認証が必要なため、id_token の鮮度と単一使用を検証する必要があります。つまり、id_token は最近作成されたものであり、使用されていない必要があります。反対に、なりすましが発生する可能性があります...

OpenId Connect 標準によれば、サーバーによって設定され、ユーザーのクライアントに送信されるナンスまたはチャレンジがあり、これがリクエストに追加され、レスポンスとして id_token に含まれます。このナンスは、そのような検証に役立ちます。

Google サインイン/ID を使用して、トークンの 1 回限りの使用の鮮度を確認する方法はありますか?

事前に多くの感謝を!

4

1 に答える 1

1

Google の OpenID Connect 仕様に準拠した承認エンドポイントはhttps://accounts.google.com/o/oauth2/v2/authです (Google の OpenID Connect 構成はディスカバリ ドキュメントで確認できます)。OpenID Connect の仕様によると、実際にはnonceが暗黙的なフローで必要になります。

リクエストの例を次に示します: https://accounts.google.com/o/oauth2/v2/auth?redirect_uri=https%3A%2F%2Fdevelopers.google.com%2Foauthplayground&response_type=id_token&client_id=407408718192.apps.googleusercontent.com&scope= email+profile&nonce=onetimenonce

于 2016-01-28T06:02:33.550 に答える