Considera este escenario
Paso1:laaplicaciónlepidealusuarioque"inicie sesión" con Google o Facebook.
Paso 2: una vez autenticada, la aplicación envía la identificación del usuario (de Google / Facebook) a My App Server solicitando datos específicos de la aplicación
Pregunta
- Dado que la autenticación se realiza únicamente en el nivel del cliente (iOS / Android), mi servidor no tiene forma de saber si el usuario es un usuario válido de Google o Facebook.
- El motivo es que en el servidor, si alguien conoce la API, puede jugar fácilmente con el sistema.
¿Cómo manejo estos escenarios para asegurarme de que el servidor tenga confianza sobre los datos de usuario que provienen de Google / Facebook?
P.S: Estoy creando una aplicación móvil por primera vez y esta pregunta puede ser estúpida, pero no sé cómo trabajar con tal situación.