Каким образом работает авторизация по Google OAuth в web приложениях?

Question

[dicem]

Здравствуйте, посмотрел урок по интеграции Google Sign In в web приложение на реакте, немного полистал документацию.
Теперь встал вопрос. Что именно получает клиент при авторизации через Google Sign In? Каким образом в приложениях реализована синхронизация данных с Google OAuth и собственными данными в БД?
Например. Если у меня на сайте есть 2 варианта авторизации: Через собственную форму авторизации и через GooGle Sign In. То как реализовывать авторизацию по первому случаю это наше дело, а вот когда человек кликает по Google Sign In что происходит? То есть Мне предоставляются данные пользователя Google и я должен сам их проверять на наличие в БД и либо авторизовывать пользователя либо регистрировать?
Как вобще работать с этим?

Answer 1

[Daria Motorina]

Постарайтесь углубиться в описание oauth (в google sign in вроде oauth 2.0) - каноничная дока тут (основы рассказаны в разделах 1.1-1.5), чтобы понимать, где реализация непосредственно oauth, а где особенности реализации. Пример статьи на русском для упрощения.
По-идее, если после успешной авторизации вы получили access token, то надо хранить его в базе на своей стороне и самому делать запросы на обновление инфы о юзере по апи гугла.

Comments

[dicem]

Получается, юзер залогинен, пока у токена не истек срок действия? Иииили как?
Получается при каждом входе в сайт/приложение мы проверяем токен? И если он истек то перелогиниваемся? Как в таком случае множество приложений могут просто бесконечно оставаться в залогиненом режиме? Или же можно самому регулировать срок действия выдаваемого токена?

[Daria Motorina]

dicem, юзеры могут не перелогиниваться, если вместе с access_token сервер авторизации отдает refresh_token - в таком случае, когда запрос с текущим access_token начинает отдавать респонс с ошибкой 401, то надо сделать доп.запрос на урл обновления токена (передать ему refresh_token), и он опять выдаст пару access_token и refresh_token. По идее так, возможно там такого нет, но сам токен имеет долгое время жизни и не особо часто его надо обновлять