В документации по серверному потоку разработчиков Google здесь:
https://developers.google.com/+/web/signin/server-side-flow
В нем говорится, что вы должны проверить идентификатор пользователя, полученный с сервера, с идентификатором, отправленным клиентом.
if ($tokenInfo->userid != $gPlusId) {
return new Response(
"Token's user ID doesn't match given user ID", 401);
}
Однако я не уверен, как клиентский javascript должен знать, что такое идентификатор Google. Я почти уверен, что теперь это часть автора callBack.
Единственный способ, о котором я могу думать, — это если сам клиент звонил в Google, чтобы получить свой собственный GoogleID.
Как правильно это сделать?
Спасибо
Короткий ответ (из моего чтения) —
Я нашел некоторые ответы во время моих чтений. Так случилось, что в руководстве по быстрому запуску java есть gplus_Id, а в php — нет. Тем не менее, единый входящий поток использует его, как вы упомянули выше (на шаге 8). Обсуждение Google Вот упоминает, что — «См. немного связанное обсуждение здесь: https://github.com/googleplus/gplus-quickstart-php/pull/7
Gplus_id обычно отправляется с клиента на сервер вместе с одноразовым кодом, но на самом деле он ничего не добавляет в дополнительной безопасности, поэтому он был удален из примера php.
Но да, документация должна быть скорректирована в соответствии с текущим примером кода.
(И пример быстрого запуска Java обновлен и больше не отправляет gplus_id …) «.
Я надеюсь, что это помогло :).
Других решений пока нет …