我无法理解认证标准流程和授权谷歌+,而无需使用护照没有Passport.js谷歌+认证
要求:
- 没有passport.js(我知道这使用它很简单,但我不想使用它)
- 没有会话(不会使用任何会话,我想维护无状态)
当前架构:
- 我有一个REST API服务器,智威汤逊(JSON网络令牌),
- 用户会从我的服务器,获得访问令牌时,他们做了POST /登录
- 我的服务器,将检查用户名和密码并访问令牌返回
- 需要为未来的API查询,我的服务器,该令牌
问题:
i)我该如何用Google +取代我目前的认证?
ii)当我使用Google +按钮登录时,我在客户端有一个访问令牌,是否将令牌发送回我的服务器?
iii)但是,我的服务器没有这个用户的信息吗?我需要先在我的服务器上创建这个用户,当它发送一个访问令牌给我的服务器时,我会检查这个用户是否有效并返回它与我的服务器访问令牌? (所以对于这个用户,我的服务器数据库没有密码信息,并且这个来自谷歌的访问令牌将被存储在我的服务器中?)
iv)我阅读了他们的文档https://developers.google.com/+/web/signin/server-side-flow 他们使用会话时用户第一次访问页面,我不想用sessiosn
我想知道一般流程,我自己可以实现的代码, 我只想知道解决这个问题的通用架构!
这将是伟大的,如果你能告诉我一般的概念来处理这个!:)