今天,用户的谷歌硬盘访问令牌(在用户验证应用程序时获得)保存在我的后端,链接到已验证的用户。因此,当用户从任何平台进行一次身份验证时,他将从他使用的任何其他平台或设备获得相同的Google Drive访问权限,因为访问令牌保存在后端。
我们希望允许每个客户端使用驱动器SDK,以便在合适的情况下直接与谷歌驱动器服务通信,要求客户端持有并使用连接用户的驱动器访问密钥。
我们正在寻找一种方法给用户一个“无缝”的驱动器连接。
是否有一种替代方案,用户不必对每个设备的我的应用进行身份验证?访问令牌可以从一个设备共享到另一个设备吗?
--
编辑:将刷新令牌排除在问题范围之外-假设当令牌过期时,客户端将使用我的后端API刷新访问令牌(因此后端持有刷新令牌)
附言-我问了类似的问题为Dropbox服务-使用Dropbox访问令牌从多个设备
尽管这不是一个有限的答案-
我们最终得出结论,每个设备最好持有自己的授权令牌。虽然从技术上讲,在后端保留这些内容是可能的,但它会带来安全风险,并降低用户通过我们的应用程序对第三方提供商的“实际连接设备”的控制。
考虑到所有平台都使用相同的GoogleDrive应用程序,我们确实认为用户只有在第一次使用时才需要“授予权限”。
