구글 플러스 초간단 access token 체크 방법

모바일 앱 클라이언트등에서 구글 플러스 인증을 통해 얻은 access token의

무결성을 "최대한 간단하게" 검증해 보자.

(2016년 1월 작동을 테스트 하였다.)

요약

- 구글 api library를 사용하지 않는다. (아 진짜 복잡해서 못 써먹겠네)

- 순수 웹 요청과 access_token만으로 인증 체크를 한다.

요청

https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=ABCDE

성공시 받는 json 응답

{

 "issued_to": "612345~~.com",

 "audience": "612345~~.com",

 "user_id": "1~~~~~~9",

 "scope": "https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/plus.me",

 "expires_in": 1506,

 "email": "abcde@gmail.com",

 "verified_email": true,

 "access_type": "online" 

}

실패시 받는 json 응답

{

 "error": "invalid_token",

 "error_description": "Invalid Value" 

}

위와같이 성공했을때는 유저 정보를 얻을 수 있다.

응답 성공이 왔을 때는, 추가로 해당 앱에서 로그인을 한게 맞는지 체크하기 위해 

issued_to값을 구글 개발자 센터에서 해당 모바일 앱에 할당한 CLIENT_ID와 

비교해 주도록 한다.