Я интегрировал вход через Google+ в свое приложение для Android. Теперь я не хочу получать список друзей пользователя и хранить его на сервере. Я не могу получить список друзей в клиентском приложении и отправить его на сервер, так как данные легко подделать. Поэтому я подумал о том, чтобы сгенерировать токен доступа с помощью следующего кода и отправить его на сервер, который затем будет использоваться сервером для запроса API Google+ и получения друзей пользователя.
String accountName = Plus.AccountApi.getAccountName(mGoogleApiClient);
Account account = new Account(accountName, GoogleAuthUtil.GOOGLE_ACCOUNT_TYPE);
String scope = "oauth2:" + Constants.SCOPE_PLUS_LOGIN + " " + Constants.SCOPE_EMAIL;
try {
String accessToken = GoogleAuthUtil.getToken(getApplicationContext(), account, scope);
} catch (IOException | GoogleAuthException e) {
e.printStackTrace();
}
Но достаточно ли безопасно отправлять токен доступа на сервер напрямую через https? Потому что, если токен скомпрометирован, любая третья сторона может использовать его для кражи личной информации пользователя.
Или есть лучший способ получить и сохранить список друзей зарегистрированного пользователя на сервере?