Google Oauth2 Bearer 令牌作为会话 ID

Question

我已经使用 Angular Application 中的 oauth2 实现了 google-signin。 身份验证成功并生成令牌后，我将其存储在 LocalStorage/IndexedDB 中，并尝试将此令牌、用户配置文件信息等发送到我的烧瓶后端。 我会验证令牌并继续流程 现在，我想使用用户不记名令牌作为我的 Session-ID，即我正在执行的每个 API 调用，我将通过验证此不记名令牌来完成。

我相信通过这样做，我将能够避免“创建会话”，并利用 google 生成的令牌来唯一标识用户和对后端的调用。

请让我知道这会导致哪些安全漏洞，以及相同的替代方案有哪些

Answer 1

虽然当时我提出了这个问题，但对于如何进行有点不清楚，这里总结一下我已经完成的工作 -

1 - 我使用 Angular 作为前端，我有 refered this page 2 - 这样做时，我的疑问是我将如何进行用户身份验证，以及我将如何继续注册用户并获取所需的详细信息，如个人资料、联系人、地址等。

我做了什么-> 发出承载后，我将此信息传递到后端，然后从后端联系各种谷歌 api 并获取承载的相关信息。

此外，这个承载被存储在客户端，以确保直到令牌过期，我将继续不发出另一个令牌，同时，当用户会话超时时，我将读取本地存储的（客户端) 令牌并在后端验证它，

如果令牌是有效的，后端服务器会去和所有范围的所有信息，并相应地处理其他流。