OAuth2 -永久访问我的帐户的安全
OAuth2 -永久访问我的帐户的安全
提问于 2014-12-06 18:12:32
我想让用户下载我的网站上的文件,但有些将需要一定数量的点。我是使用小主机,所以他们是存储在我的谷歌驱动器帐户与购买的额外空间。
我将access_type设置为“脱机”,如果它过期,我将使用刷新令牌来更新访问令牌。主要问题是,控制台显示包含令牌的请求。
我想知道,用户是否可以使用access_token访问文件,尽管他们没有足够的分数?隐藏请求的最佳方法是什么?
回答 1
Stack Overflow用户
回答已采纳
发布于 2014-12-07 13:24:44
好的,我想我明白您的问题了;实际上访问令牌应该有相关的权限,只允许它代表您下载特定的文件,但是我不认为使用Google的访问令牌粒度是可能的;所以您必须在服务的基础上实现您自己的系统,允许这种粒度。
因此,您将只在后端服务中保留访问令牌,并让Javascript客户端调用您的后端服务以获取特定的文件,然后在后端服务中检查用户是否被允许,如果允许将请求传递给Google。
编辑:这里描述的是:http://developers.google.com/+/web/signin/server-side-flow
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/27334815
复制相关文章
相似问题
腾讯云开发者
