文章/答案/技术大牛

发布

社区首页 >问答首页 >如何使用PHP在服务器上验证Android生成的令牌？

问如何使用PHP在服务器上验证Android生成的令牌？
EN

Stack Overflow用户

提问于 2013-07-04 10:26:19

回答 2查看 6K关注 0票数 3

好吧，我一直在尝试获得Tim Bray的文章Verifying Back-End Calls from Android Apps所描述的奇妙的涅盘。我可以通过调用GoogleAuthUtil.getToken()成功地从我的安卓应用程序中获取令牌。我将令牌作为头授权承载字段传递给我的php服务器。这就是我被卡住的地方。

现在我应该怎么做才能验证令牌是从我的android应用程序中为与我的服务器项目相同的项目生成的？如何从令牌中获取user_id？谢谢。

在谷歌控制台上，我的php服务器和android应用程序都在同一个项目上。在我的php服务器上，我可以同时链接android/google-api-php-client/src/Google_Client.php和android/google-api-php-client/src/contrib/Google_PlusService.php库代码。

google-api-php-client

php

android

google-oauth

google-play-services

回答 2

Stack Overflow用户

回答已采纳

发布于 2013-07-07 06:13:17

好吧，我终于找到了我的问题的解决方案。正如我所怀疑的，答案相当简单。我已经正确地做了很多事情。我的web端点和我的android应用程序都在同一个Google API控制台项目中。他们分享了项目条目，如受众等。

我找到的用于验证的所有示例都假设读者已经知道如何进行验证，或者假设PHP需要生成令牌。最后，我偶然读到了Google OAuth2 documentation on Validating a Token的这一部分，它给了我如何在我的php服务器上干净利落地进行验证的想法。只是验证一下，没有别的了，妈妈！OAuth已经够让人困惑的了。还有从命令行使用curl进行验证的其他示例。但是，这就是你如何在PHP中调用tokeninfo来验证(1)一个令牌是有效的，(2)它是为你的应用程序准备的。

$mToken = $_POST['mToken'];
$userinfo = 'https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=' . $mToken;
$json = file_get_contents($userinfo);
$userInfoArray = json_decode($json,true);
$googleEmail = $userInfoArray['email'];
$tokenUserId = $userInfoArray['user_id'];
$tokenAudience = $userInfoArray['audience'];
$tokenIssuer = $userInfoArray['issuer'];    

if ( strcasecmp( $tokenAudience, GOOGLE_FULL_CLIENT_ID ) != 0) {
        error_log ( "ERROR:'" . $tokenAudience . "' did not match." );
}

变量GOOGLE_FULL_CLIENT_ID保存我的应用程序的受众字符串的值(您可以从应用程序的Google API控制台定义页面复制该值)。

在我的解决方案中，我决定使用_POST值对"mToken“将从我的安卓应用程序生成的令牌传递到我的服务器端点。在Android中执行此操作的代码如下：

HttpPost httppost = new HttpPost("uri for your server web endpoint");
ArrayList<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>();
nameValuePairs.add(new BasicNameValuePair("mToken", mToken));
try {
        HttpClient httpclient = new DefaultHttpClient();
        httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
        HttpResponse response = httpclient.execute(httppost);
} catch (Exception e) {
        Log.e("HTTP", "Error in http connection " + e.toString());
}

票数 4

Stack Overflow用户

发布于 2013-10-05 02:20:16

我们在GitHub上有示例代码和说明，用于验证来自您的服务器的令牌。下面是用PHP编写的示例。

https://github.com/googleplus/gplus-verifytoken-php

这是库调用：

$client->verifyIdToken($id_token, CLIENT_ID)

使用客户端库的一个优点是，如果缓存了Google的安全证书，它可以离线验证ID令牌。这意味着库调用在第一次使用后会变得更快，因为库不必对Google进行另一次网络调用。使用oauth2/v1/tokeninfo端点总是需要网络调用，因此它在大多数情况下会比较慢。

票数 4

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/17460977

复制

相似问题

问如何使用PHP在服务器上验证Android生成的令牌？
EN

回答 2

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何使用PHP在服务器上验证Android生成的令牌？EN

回答 2

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何使用PHP在服务器上验证Android生成的令牌？
EN