带有后端验证流程说明的Google登录
我花了数小时来浏览各种教程和文章,并最终屈服于询问。
我想对Angular
7应用程序的所有用户强制使用Google登录身份验证。但是,一旦Google身份验证完成,我想首先检查该用户是否存在于我的后端数据库(PostgreSQL)中。如果他们这样做,那么我想为两个目的发布JWT:
- 确保以后仅对授权用户满足对Spring Boot REST服务的调用。
- 使用知道令牌的AuthGuard保护我的Angular路由。
到目前为止,我已经能够从gapi auth2 auth响应中检索id_token并将其转发到我的Spring Boot
POST映射,但是我一直在努力确定我要针对的OAuth 2.0 / OpenId流/赠款在采购适当的Spring Boot文档/教程时,工作变得很困难。
有谁能够澄清我应该瞄准的流程/拨款以及我目前的方向是否有效?
回答:
建议您结合Google登录ID提供程序实施“无状态”身份验证系统。
“使用JWT作为授权的载体,您可以通过简单地检查有效载荷中的到期是否尚未到期以及签名是否有效来无状态地验证用户是否已通过身份验证。”
乔纳坦·尼尔森(Jonatan Nilsson)
关于这个问题的一些很好的资源:
- https://www.jbspeakr.cc/purpose-jwt-stateless-authentication/
- https://auth0.com/blog/stateless-auth-for-stateful-minds/
- 前端检索Google登录身份验证JWT令牌。
- 前端随每个HTTP请求发送JWT令牌(带有授权标头)
- 后端为每个请求检索JWT,验证其签名并获取有效负载属性(电子邮件,ID…)
- 然后,后端检查用户数据库中的“电子邮件”或“ id”以允许还是不允许请求。
后端是无状态的,并且易于实现。这种设计往往会成为云平台上的一种良好做法,例如,Google Cloud在其新产品中大量使用了这种设计:Cloud
Run
为此,您可以直接使用Google登录库,也可以使用ng-gapi在Angular中管理Google登录。
从Google登录中检索的 (id_token)。
您可以为此使用HttpInterceptor。
headers: { Authorization: Bearer ___JWT ID TOKEN___
}
请参阅MichaelKarén的使用Angular中的Interceptor的十大方法。
请注意,不要将Google JWT
Id_token存储在变量中。如果过期,它可能会刷新(由Google登录自动完成),因此,每次在HttpInterceptor中使用它时,都应使用一个新版本。
对于每个请求,此安全过滤器都会JWT ID TOKEN使用Google图书馆对其进行检索和验证。
NetHttpTransport transport = new NetHttpTransport();JsonFactory jsonFactory = new GsonFactory();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
.setAudience(Collections.singletonList(clientId))
.build();
GoogleIdToken idToken = GoogleIdToken.parse(verifier.getJsonFactory(), token);
boolean tokenIsValid = (idToken != null) && verifier.verify(idToken);
if (tokenIsValid) {
GoogleIdToken.Payload payload = idToken.getPayload();
// Get profile information from payload
payload.getEmail())...
...
但是要小心,不要GoogleIdTokenVerifier为每个请求创建一个factory模式。此类将检索证书并自动对其进行缓存,以避免对Google服务器的无用请求。
一些资源: Google登录,通过后端服务器进行身份验证
以上是 带有后端验证流程说明的Google登录 的全部内容, 来源链接: utcz.com/qa/432645.html
