Thread: Google Apps/OAuth vraagjes
-
09-03-2012, 12:56 #1Approved 9-lifer
- Registered
- 01/08/02
- Location
- Gent
- Posts
- 9,675
- iTrader
- 3 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 0/361
Google Apps/OAuth vraagjes
Gegroet
Zoals al te merken was aan vorige threads: ik ben opt werk bezig met wat OAuth integratie bovenop bestaande inlog functionaliteit van onze app. We gebruiken onze eigen manier van inloggen met onze eigen sessie id's.
Wat doe ik nu basically voor de google oauth2.0: het google ID wordt gekoppeld met een account van ons, bij inloggen via google haal ik een access token op, doe een call naar de userinfo en kijk of het google id bij ons in de database zit, if so log ik die gebruiker in (met onze eigen sessie id). Dit werkt.
Nu wil ik in onze app ook een aantal google dingen tonen (ongelezen mails, calendar...), dus ik steek de access token in onze database zodat ik niet steeds opnieuw een token moet ophalen. We gebruiken geen $_SESSION in onze app, vandaar dat ik de waarde opsla in de tabel, deze wordt gewist wanneer de gebruiker uitlogt.
Nu zit ik met volgende vragen:
- Moet ik die token wel wissen? Ik heb een refresh token, dus in principe kan ik een nieuwe access token ophalen. Anderzijds, op moment van inloggen weet ik niet wie inlogt, dus ik weet ook niet welke refresh token ik moet gebruiken.
- Ik krijg die refresh_token ook enkel als ik de force approval aanzet, bij ons staat die uit voor het gebruiksgemak te verhogen.
- Onze gebruikers kunnen zelf instellen wanneer hun "sessie" vervalt (na 15 minuten inactiveit, 60 minuten...), maar de access token van google is precies sowieso 3600 seconden geldig. Nu zie ik niet meteen hoe ik deze moet verversen, hoewel in de OAuth playground wel een vinkje staat "Auto-refresh the token before it expires", zie ik niet in hoe dit werkt. Het zou maar vervelend zijn dat gebruikers na een uur nog aan het werken zijn, maar ineens de google dingen niet meer werken omdat de access token vervallen is.
- Ik kan gebruik maken van de userinfo en de tokeninfo om het userid op te halen. Heeft een van de twee voorkeur? Tokeninfo toont mij ook wel hoe lang de access_token nog geldig is (maar dat kan ik in principe ook zelf uitrekenen).
- Ik sla de volledige json_response op van de token (dus met access_token, token_type, expires_in en id_token), maar zover ik zie heb je enkel de access token nodig en is het dus voldoende om enkel deze op te slaan.
Ik weet dat dit allemaal heel specifieke vragen zijn en mss horen ze hier zelfs niet 100% thuis, maar ik vind niet onmiddellijk alternatieven. Ook de documentatie van Google zelf vind ik soms heel beknopt.If I had a nickel for every time someone told me that my idea for melting down coins to make a giant robotic parrot was a bad idea, I would have one kicka$$ giant robotic parrot.no votes
-
