Autenticar usuarios a través de Google usando solo un token de acceso OAuth2

4

Tengo una pregunta acerca de que los usuarios inicien sesión en mi servicio con sus credenciales de Google. He revisado la Uso de OAuth 2.0 para el inicio de sesión que proporciona Google.

La documentación menciona un id_token (token JWT) como el token de autenticación principal que se puede pasar y verificar por la aplicación.

Por otro lado, junto con el id_token, la API de Google Oauth 2.0 también devuelve un token de acceso (que puede ser de larga duración según el access_type )

Ahora, Facebook y Twitter también usan OAuth para permitir aplicaciones web de terceros con un botón de "inicio de sesión con twitter" o "inicio de sesión con facebook". Suponen que cuando se recupera un token de acceso a través de sus API, considera al usuario authenticated .

¿No sería lo mismo posible con Google? Si solo utilizo su API OAuth 2.0 para recuperar un token de acceso y verificar el token de acceso recuperando información del usuario como el correo electrónico, ¿se consideraría un flujo de autenticación válido? ¿O me estoy perdiendo algo aquí?

    
pregunta ddewaele 13.07.2013 - 09:35
fuente

1 respuesta

1

Esta publicación puede responder a su pregunta. La mejor solución es usar OpenID Connect (id_token) ya que esta será la forma estándar de hacerlo (aún un borrador).

    
respondido por el Nereis 13.02.2014 - 09:16
fuente

Lea otras preguntas en las etiquetas