gpt4 book ai didi

android - 使用后端服务器进行身份验证的正确方法

转载 作者:搜寻专家 更新时间:2023-11-01 09:47:43 24 4
gpt4 key购买 nike

根据doc ,为了通过后端服务器进行身份验证,我必须:

  • 使用 HTTPS 将用户的 ID token 发送到我的服务器。
  • 验证 ID token 的完整性并从 ID token 的子声明中检索用户的 ID。

这工作得很好,但是如果我必须验证对服务器的所有请求怎么办?

我是否应该存储 idToken(在私有(private)共享首选项上)并在每次服务器端验证它?由于 idToken 有有效期,客户端必须能够在它过期时重新生成它。

或者在第一次连接时,我是否应该向用户返回一个 id(没有有效日期)以允许他与服务器通信(似乎不太安全)?

最佳答案

token 应该在对服务器的每个请求中进行验证,就像每个请求的 key 一样。此 key 在很长一段时间内无效,因此如果您希望“ session ”持久存在,您通常会有一个刷新 token 。如果您没有,则每次 token 有效期到期时都需要重新进行身份验证。

所以是的,您应该将 token 存储在客户端。最佳做法是拥有一个非常短的有效期,以确保如果 token 被泄露,攻击者将有很短的时间来做恶意的事情。

关于android - 使用后端服务器进行身份验证的正确方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37159465/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com