【发布时间】:2018-05-16 21:45:24
【问题描述】:
我在我的网络应用程序上实现了Google Sign-in 。
我从开发者面板创建了一个客户端 ID,并将其放入用于进行 Google 登录的 HTML 中。
客户端 ID 是个人的,但不是秘密的,这意味着它可以识别我的应用程序,但它不会提供在后端服务器上操作数据的权力(如果我理解正确的话,就是 client_secret 可以让你在服务器端执行操作)。
我的网络应用不与我的服务器通信,因此我不需要将 ID 令牌发送到服务器以验证登录的用户。
我的问题是:应用程序与其客户端 ID 之间的关联是什么?
无论有多少用户登录,此客户端 ID 是否必须为我的应用程序唯一?由于客户端 ID 应该在 Google OAuth2 服务器前识别我的应用程序而不是登录用户,我认为
我不必为每个日志记录客户创建一个客户端 ID,因为客户端 ID 标识的是应用程序而不是客户:这意味着我必须为每个不同的创建一个客户端 ID > 使用 Google 登录的网络应用,并非适用于每个登录用户。
你能确认一下我上面的想法吗?
谢谢!
【问题讨论】:
标签: oauth-2.0 google-oauth google-signin