Я использую Yammer JS SDK для аутентификации пользователей для доступа к некоторым веб-службам. Я использую JS SDK для получения токена и сохраняю его в сеансе. Текущий поток следующий (может быть неправильно, поправьте меня, если необходимо):
- Пользователь обращается к любой странице, PHP проверяет токен, хранящийся в переменных сеанса. Если нет - пользователь перенаправляется на страницу входа
- Используя Yammer SDK, я получаю токен доступа и сохраняю его в переменных сеанса (отправляя его в нашу службу входа на стороне сервера) и отображаю запрошенную страницу.
Проблема до сих пор - я не могу найти способ в Yammer API проверить, действительно ли токен доступа, сохраненный\переданный в мою веб-службу, является правильным. Это означает, что потенциально любой может сгенерировать случайную тарабарщину данных, использовать ее в качестве маркера и просмотреть содержимое — остальная функциональность Yammer будет нарушена, но содержимое будет видно.
Самый умный способ, который я придумал, — это попробуйте получить некоторую информацию о клиенте из Yammer REST API, используя токен, и, если ответ недействителен, удалите токен, сохраненный сеансом.
Как мне это сделать правильно?