应用引擎端点使用Google Identity Toolkit进行身份验证

Question

我已经使用Google Identity Toolkit在我的Android应用程序中成功实现了用户登录。 我还创建了一个App Engine端点，以便从Android应用程序进行通信。 现在我想用auth保护端点。

我知道我可以为端点创建一个自定义Authenticator，并在那里对请求头中的数据进行任何类型的验证，然后完成工作。

但我不知道如何在那里进行Gitkit验证。 基本上

1. 我应该传递哪些数据才能从Android应用程序到达端点调用？（令牌ID？）

2. 我应该在端点的自定义验证器中做什么来确保请求有效？

3. 我看到有人建议使用Session或cookies。 如果我使用Android应用程序中的端点，这些工作会起作用吗？ 如果是，请告诉我如何做到这一点。

Answer 1

Gitkit令牌是JWT格式，因此您可以像在任何其他JWT令牌上一样在服务器端验证它们。

请参阅此处有关如何验证JWT的示例文档： https ： //developers.google.com/identity/sign-in/web/backend-auth格式相同。

我也有自己的项目将它与Jersey服务器集成： https ： //github.com/dlazerka/gae-jersey-oauth2 。 它使用推荐的com.google.api-client库来实际验证令牌。