모바일 응용 프로그램 (iOS)에서 ID 토큰을 가져 오는 백엔드 서버를 만듭니다. 이 토큰이 정상이며 안전하게 사용할 수 있는지 어떻게 확인할 수 있습니까?Google OpenID Connect : id_token을 확인하는 방법?
공식 확인하는 토큰에 대한 구글의 문서 :
그것은 구글에 확인 요청을 보내지 않고, 로컬 ID 토큰을 확인하는 것이 좋습니다https://developers.google.com/identity/protocols/OpenIDConnect#validatinganidtoken
. 문서 에서처럼 ID 토큰의 일부 필드를 로컬에서 확인하는 것이 좋습니까? 아니면 토큰을 확인하기 위해 Google에 일부 요청을 보내야합니까?
구글 문서는 디버깅과 함께 ID 토큰을 확인하는 방법에 대한 언급 :
https://www.googleapis.com/oauth2/v3/tokeninfo?id_token=XYZ123
그러나 생산에 사용하는 것을 권장하지 않습니다. 내가 먼저 액세스 토큰을 확인하고 아이디 토큰과 함께 액세스 토큰을 사용하는 방법에 대한도 생각 :
https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=
하지만보다 안전한 클라이언트의 자격 증명 (모바일 앱, 웹 응용 프로그램을) 검증의 전 과정을 하는가?
[Validate Google Id Token] (http://stackoverflow.com/questions/39061310/validate-google-id-token) –