Как проверить токен на сервере при клиентской авторизации?

Question

[curious452]

Есть нативное мобильное приложение, есть бекэнд для него. Необходимо дать пользователю возможность логиниться через Одноклассники.
Используется Oauth 2 Implicit Grant, т. е. в мобильном приложении пользователь проходит клиентскую Oauth авторизацию и получает токен. После этого токен отправляется на бэкенд, где проверяется его валидность, в случае успеха вытягивается id пользователя и происходит логин/регистрация.
Вопрос в том, как проверить на бэкенде валидность токена и то, что он был выдан нужным приложением?
В фейсбуке для этой цели используется debug_token, в vk - checkToken.
Вопрос частично связан с Доступна ли валидация пользовательского токена на стороне сервера? , но ответ ясности не внес. Если я верно понимаю, то все запросы с бэкенда будут вне сессии, т. к. секретный ключ сессии остается в нативном клиенте.

Описание проблемы и решения для фейсбука: https://developers.facebook.com/docs/facebook-logi...

Answer 1

[dgreen]

users.getCurrentUser?

Comments

[supermuxa]

т.е. передавать подписанный запрос на сервер, оттуда его вызывать и проверять тот ли пользователь?

[dgreen]

supermuxa: Вы получили на клиенте access_token и session_secret_key их и отправляйте на backend

[supermuxa]

dgreen: ну да, логично, вообще если сервер знает про секретный ключ приложения, то получается он может одним токеном обойтись?