Estos son los pasos para configurar un botón de inicio de sesión de Google en un cliente web: enlace
Cuando haga clic en el botón de inicio de sesión de Google, aparecerá un mensaje emergente:
Todas las interacciones son entre el IDP (Google) y el navegador del usuario.
¿Hay algo que impida que una aplicación maliciosa copie / modifique el código fuente de la aplicación, falsifique la buena aplicación y robe un token válido del IDP cuando el usuario inicia sesión?
Cuando el usuario selecciona una cuenta para iniciar sesión, se le lleva a una página de inicio de sesión (si no ha iniciado sesión actualmente) y luego / o se envía "de vuelta" a la aplicación en cuestión, junto con el token SSO. Digo "atrás" porque el usuario será enviado a la URL que se especificó cuando la aplicación se configuró para SSO. Ese no será el sitio del atacante; el atacante no podrá ver el token de SSO.
Google (u otro IDP) también podría intentar verificar de dónde vino el usuario (verificando el encabezado del Referer) para asegurarse de que no haya otra aplicación web que falsifique el ID del cliente de la aplicación legítima, pero probablemente no sea necesario.