Google OAuth2 验证服务器流中的访问令牌

Question

我正在手动编写 OAuth2 Server Flow 以允许用户使用 Google（和其他网站，但让我们专注于 Google）登录。

我有基本的流程工作：

1. 用户点击登录链接。
2. 转到 Google 并看到同意屏幕。
3. 接受。
4. 重定向回我的网站。
5. 服务器获取相关信息并将用户登录。

到目前为止一切顺利。现在我想确保服务器下次记住用户。为此，我将令牌与其他用户数据一起存储在服务器上。

现在，我如何检查服务器到服务器的令牌是否仍然有效？我有它的到期时间，所以我知道过了这个时间它就无效了，但是我该怎么办呢？如果我只想允许登录，我应该要求一个永久（离线）令牌吗？

Answer 1

由于 Google 授权成功，您还应该获得 refresh_token。如果您没有得到，请执行以下操作。

1. 当您重定向到授权端点时，添加额外的参数 access_type=offline 这将确保您将获得 refresh_token
2. 使用刷新令牌获取额外的访问令牌。

现在，如果您不维护状态，您可以点击 Google 的令牌验证端点进行验证。如果您正在维护状态，那么您可以在令牌仅签名的情况下验证令牌的到期时间，如果已加密，则您必须从 Google 进行验证。

您可以使用不同的 Google OAuth URL here

更多关于令牌验证的细节here