После авторизации Что делать с Google Id Token?

Question

[Карлиндоу Мэрлифи]

После авторизации через Sign In Google в моём приложении, гугл даёт следующие данные:
DisplayName - оно же имя, фамилия аккаунта
Email - адрес почты
Google Id Token - а вот тут прилетает длинный токен, у каждого пользователя он разный (ajgoag21383HgiagkGiag8023gyqi8gGHiwgig........ типа того).

Хочу в своей базе данных юзера сохранить, и далее работать с ним, но как мне идентифицировать его?
По этому токену? А если он меняется? И другие вопросы...

По сути, должно же быть какое-то API у гугла, в который я УЖЕ НА СТОРОНЕ СЕРВЕРА кидаю этот самый токен, и в ответ получаю какой-нибудь статичный параметр, например айди юзера.

Comments

[shurshur]

Зачем? У пользователя в качестве логина выступает email, вот его и надо помнить. Он будет один и тот же при каждом логине.

[Карлиндоу Мэрлифи]

shurshur, так не должно быть.
Вот допустим юзер зарегался, его емаил и токен в базе данных.

Если его аккаунт взломают и возьмут его токен, то он ведь его не сможет никак поменять.

И это ещё неизвестно, этот Google Id Token статичный или нет. Если нет, то тем более смысла нет в БД сохранять

[AlexVWill]

shurshur, не надо так, если базу данных вскроют, то все email утекут на сторону...

[shurshur]

AlexVWill, можно вместо email хранить от него хеш, такое вполне решается. Впрочем, многие сайты специально хранят емейл, и можно авторизоваться как по логину-паролю, так и через сторонние интеграции, если емейл совпадёт. Например, такое в браузерных игрушках распространено. Уместность подобного сильно зависит от назначения сайта и того, нужна ли почта у пользователя для его функциональности.

Но если и правда есть уникальный постоянный uid, и почта сама по себе не нужна, то помнить его конечно же лучше, чем email.