Quali sono i vantaggi per la sicurezza della creazione di una sessione rispetto all'utilizzo del token ID Google ogni volta che si esegue il back-end del mio server?

1

Sto utilizzando Google Accedi per autenticare i miei utenti con il mio server back-end tramite la mia app per Android.

Finora sono in grado di accedere e ottenere un token ID, che poi invierò al mio server back-end per la verifica, cosa che posso fare usando Libreria client API di Google PHP . Dopo questo punto, la documentazione di Google dice :

Create an account or session

After you have verified the token, check if the user is already in your user database. If so, establish an authenticated session for the user. If the user isn't yet in your user database, create a new user record from the information in the ID token payload, and establish a session for the user. You can prompt the user for any additional profile information you require when you detect a newly created user in your app.

Q: Quali sono i vantaggi di stabilire una sessione autenticata per l'utente? Non posso semplicemente usare l'ID token ogni volta per identificare l'utente nel mio endpoint del server? Sicuramente se il token ID è scaduto, posso solo dire al client e fare in modo che il client esegua nuovamente l'accesso in modalità silenziosa a Google, quindi utilizzare il nuovo token ID per accedere correttamente al mio endpoint.

Se avessi continuato a utilizzare i miei token JWT dopo l'accesso a Google, tutto ciò che farei davvero è scambiare un JWT con un altro, tranne che avrei il controllo sui contenuti dei miei JWT, ad es. tempo di validità.

Nota: l'ID token di Google contiene un numero "sub" che identifica in modo univoco l'utente, quindi posso facilmente utilizzarlo per indicizzare nel mio database.

    
posta Antinous 14.05.2018 - 15:46
fonte

0 risposte

Leggi altre domande sui tag