Próbuję skonfigurowaćZaloguj się w Google przycisk, który pozwoli kupować rzeczy na mojej stronie.

Uwierzytelnianie po stronie klienta wygląda całkiem prosto, ale staram się zrozumieć, jak działa uwierzytelnianie po stronie serwera. wprzykładowy kod przekazują parametr „code” po stronie klienta do serwera, gdzie można go zamienić na token dostępu, który następnie można wykorzystać do wyświetlenia listy znajomych użytkownika.

Ale nie chcę widzieć listy znajomych użytkownika. Chcę tylko mieć pewność, że klient jest tym, za kogo się podaje.

Po pobraniu tokena przykładowy kod umieszcza token w sesji i wydaje się wykorzystywać obecność tokena do sprawdzenia, czy użytkownik jest uwierzytelniony. Czy to poprawne / bezpieczne? Czy (nie) mój serwer powinien jakoś ponownie zweryfikować token (jak?), Kiedy nadejdzie czas na zakup? Czy powinienem stale weryfikować token z Google na każde żądanie? (Mam nadzieję, że nie?)