Tengo una pregunta acerca de que los usuarios inicien sesión en mi servicio con sus credenciales de Google. He revisado la Uso de OAuth 2.0 para el inicio de sesión que proporciona Google.
La documentación menciona un id_token
(token JWT) como el token de autenticación principal que se puede pasar y verificar por la aplicación.
Por otro lado, junto con el id_token, la API de Google Oauth 2.0 también devuelve un token de acceso (que puede ser de larga duración según el access_type
)
Ahora, Facebook y Twitter también usan OAuth para permitir aplicaciones web de terceros con un botón de "inicio de sesión con twitter" o "inicio de sesión con facebook". Suponen que cuando se recupera un token de acceso a través de sus API, considera al usuario authenticated
.
¿No sería lo mismo posible con Google? Si solo utilizo su API OAuth 2.0 para recuperar un token de acceso y verificar el token de acceso recuperando información del usuario como el correo electrónico, ¿se consideraría un flujo de autenticación válido? ¿O me estoy perdiendo algo aquí?