¿El uso de OpenID Connect para el inicio de sesión implica que Google puede hacerse pasar por mis usuarios?

2

Estoy considerando la integración de Google OpenID Connect (OAuth 2.0 para inicio de sesión) como una opción de inicio de sesión para una aplicación web.

enlace

Mi pregunta: ¿El uso de OpenID Connect (y esquemas similares) implica que Google podría hacerse pasar por mis usuarios, iniciar sesión en mi sitio web y acceder a todos sus datos allí?

Mi conjetura es que la respuesta podría ser diferente para el "flujo del servidor" en comparación con el "flujo implícito" (ver enlace de Google), con este último involucrando javascript en el navegador. Pero dependiendo de la implementación subyacente en el lado de Google, tampoco estoy seguro.

No creo que Google tenga ningún interés en cometer actos delictivos de acceso no autorizado a la red, pero, por otro lado, una vulnerabilidad es una vulnerabilidad y quiero entender la relación real de los sistemas.

    
pregunta WolfRevokCats 25.02.2015 - 20:23
fuente

1 respuesta

5

La verificación no la realiza usted directamente, por lo que en principio sí, Google podría falsificar la identidad de cualquiera de sus usuarios en la autenticación.

Lo que sucede durante la autenticación es que su servicio se comunica con el proveedor de OpenID de Google y le pregunta: "¿quién es este usuario?" . La respuesta de Google estará en la línea de "este usuario es [email protected] y lo he verificado " . Es una cuestión de confianza. Debes confiar en el proveedor de autenticación para realizar esa verificación.

    
respondido por el Stefano Sanfilippo 25.02.2015 - 21:45
fuente

Lea otras preguntas en las etiquetas