如何使用 PHP 在我的服务器上验证 Android 生成的令牌?

【问题标题】:How can I Verify Android Generated Tokens on my Server Using PHP?如何使用 PHP 在我的服务器上验证 Android 生成的令牌?
【发布时间】:2013-07-04 02:26:19
【问题描述】:

好的,我一直在努力获得 Tim Bray 的文章 Verifying Back-End Calls from Android Apps 所描述的美妙必杀技。我可以通过调用 GoogleAuthUtil.getToken() 从我的 android 应用程序中成功获取令牌。我将令牌作为标头 Authorization Bearer 字段传递给我的 php 服务器。这就是我卡住的地方。

我现在应该怎么做才能验证令牌是从我的 android 应用程序为与我的服务器项目相同的项目生成的?如何从令牌中获取 user_id?谢谢。

在 Google 控制台上,我的 php 服务器和 android 应用程序都在同一个项目中。在我的 php 服务器上,我可以链接 android/google-api-php-client/src/Google_Client.php 和 android/google-api-php-client/src/contrib/Google_PlusService.php 库代码。

【问题讨论】:

    标签: php android google-oauth google-play-services google-api-php-client


    【解决方案1】:

    好的,我终于找到了解决问题的方法。正如我所怀疑的,答案相当简单。我已经正确地做了很多事情。我的 Web 端点和我的 android 应用程序都在同一个 Google API 控制台项目中。他们分享了Audience等项目条目。

    我找到的所有用于验证的示例都假设读者已经知道如何执行此操作,或者假设 PHP 需要生成令牌。最后,我偶然发现了Google OAuth2 documentation on Validating a Token 的这一部分,它让我了解了如何在我的 php 服务器上干净地进行验证。只是验证而已,妈妈! OAuth 足够令人困惑。还有其他示例用于从命令行使用 curl 进行验证。但是,这就是您在 PHP 中调用 tokeninfo 来验证 (1) 令牌是否有效以及 (2) 它是否适用于您的应用程序的方式。

    $mToken = $_POST['mToken'];
$userinfo = 'https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=' . $mToken;
$json = file_get_contents($userinfo);
$userInfoArray = json_decode($json,true);
$googleEmail = $userInfoArray['email'];
$tokenUserId = $userInfoArray['user_id'];
$tokenAudience = $userInfoArray['audience'];
$tokenIssuer = $userInfoArray['issuer'];    

if ( strcasecmp( $tokenAudience, GOOGLE_FULL_CLIENT_ID ) != 0) {
        error_log ( "ERROR:'" . $tokenAudience . "' did not match." );
}

    变量 GOOGLE_FULL_CLIENT_ID 保存我的应用的受众字符串的值(您可以从 Google API 控制台定义页面为您的应用复制此值)。

    在我的解决方案中,我决定使用 _POST 值对“mToken”将从我的 Android 应用程序生成的令牌传递到我的服务器端点。在 Android 中执行此操作的代码如下:

    HttpPost httppost = new HttpPost("uri for your server web endpoint");
ArrayList<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>();
nameValuePairs.add(new BasicNameValuePair("mToken", mToken));
try {
        HttpClient httpclient = new DefaultHttpClient();
        httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
        HttpResponse response = httpclient.execute(httppost);
} catch (Exception e) {
        Log.e("HTTP", "Error in http connection " + e.toString());
}

    【讨论】:

      【解决方案2】:

      我们在 GitHub 上提供了用于验证来自您的服务器的令牌的示例代码和说明。这是 PHP 中的示例。

      https://github.com/googleplus/gplus-verifytoken-php

      这是库调用:

      $client->verifyIdToken($id_token, CLIENT_ID)

      使用客户端库的一个优点是,如果 Google 的安全证书已被缓存,它可以离线验证 ID 令牌。这意味着库调用在第一次使用后会变得更快,因为库不必再次对 Google 进行网络调用。使用oauth2/v1/tokeninfo 端点总是需要网络调用,所以大部分时间会比较慢。

      【讨论】:

      • 这适用于 locahost 但在我的服务器上它确实返回空响应但 http 结果代码为 200
      猜你喜欢
      • 2015-02-07
      • 1970-01-01
      • 2020-07-31
      • 2017-11-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-06-20
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode