應用引擎端點使用Google Identity Toolkit進行身份驗證

Question

我已經使用Google Identity Toolkit在我的Android應用程序中成功實現了用戶登錄。 我還創建了一個App Engine端點，以便從Android應用程序進行通信。 現在我想用auth保護端點。

我知道我可以為端點創建一個自定義Authenticator，並在那里對請求頭中的數據進行任何類型的驗證，然后完成工作。

但我不知道如何在那里進行Gitkit驗證。 基本上

1. 我應該傳遞哪些數據才能從Android應用程序到達端點調用？（令牌ID？）

2. 我應該在端點的自定義驗證器中做什么來確保請求有效？

3. 我看到有人建議使用Session或cookies。 如果我使用Android應用程序中的端點，這些工作會起作用嗎？ 如果是，請告訴我如何做到這一點。

Answer 1

Gitkit令牌是JWT格式，因此您可以像在任何其他JWT令牌上一樣在服務器端驗證它們。

請參閱此處有關如何驗證JWT的示例文檔： https ： //developers.google.com/identity/sign-in/web/backend-auth格式相同。

我也有自己的項目將它與Jersey服務器集成： https ： //github.com/dlazerka/gae-jersey-oauth2 。 它使用推薦的com.google.api-client庫來實際驗證令牌。