Estoy considerando la integración de Google OpenID Connect (OAuth 2.0 para inicio de sesión) como una opción de inicio de sesión para una aplicación web.
Mi pregunta: ¿El uso de OpenID Connect (y esquemas similares) implica que Google podría hacerse pasar por mis usuarios, iniciar sesión en mi sitio web y acceder a todos sus datos allí?
Mi conjetura es que la respuesta podría ser diferente para el "flujo del servidor" en comparación con el "flujo implícito" (ver enlace de Google), con este último involucrando javascript en el navegador. Pero dependiendo de la implementación subyacente en el lado de Google, tampoco estoy seguro.
No creo que Google tenga ningún interés en cometer actos delictivos de acceso no autorizado a la red, pero, por otro lado, una vulnerabilidad es una vulnerabilidad y quiero entender la relación real de los sistemas.