如何设计google OAuth2工作流

Question

我有一个后端(Spring)和一个前端颤音应用程序。我想实现一个OAuth2流。实现这一点的正确方法是什么。我的第一个实现服务将是谷歌，但我想保持它的一般性，以便我可以实现其他服务，如微软。

我尝试了一个由服务器完成身份验证的工作流(app请求oauth登录到服务器，->用clientIds重定向，->客户机验证->重定向到服务器，验证->将登录信息返回给客户端)，这是正确的方法吗？例如，谷歌不希望你使用内置的应用程序webView小部件.

我还尝试了一种分离的方法，即对谷歌OAuth服务器的第一个请求是在获取authCode和服务器请求所需信息的应用程序中完成的。但这对我不管用。每次我会得到不同的错误类型。

我已经坚持了很长一段时间没有找到一个通用的解决方案.

Answer 1

好的，我发现，最好的和推荐的方法是在后端使用GoogleTokenVerifier来验证和检查oauth请求的accessToken。Microsofts也以同样的方式推荐：

https://learn.microsoft.com/de-de/azure/active-directory/develop/access-tokens#validating-tokens

https://www.youtube.com/watch?v=j_31hJtWjlw