Ho una domanda su come gli utenti accedono al mio servizio utilizzando le loro credenziali di Google. Ho esaminato la utilizzo di OAuth 2.0 per l'accesso alla documentazione fornita da Google.
La documentazione menziona un id_token (token JWT) come token di autenticazione primario che può essere passato in giro e verificato dall'applicazione.
D'altra parte, insieme a id_token, l'API di Google Oauth 2.0 restituisce anche un token di accesso (che può essere longevo a seconda del access_type )
Ora, anche Facebook e Twitter utilizzano OAuth per consentire l'applicazione web di terzi con un pulsante "login tramite twitter" o "login con facebook". Assumono che quando un token di accesso viene recuperato tramite le proprie API, considera l'utente authenticated .
Non sarebbe la stessa cosa possibile con Google? Se utilizzo la loro API OAuth 2.0 per recuperare un token di accesso e verificare il token di accesso recuperando alcune informazioni utente come la posta elettronica, si considererebbe un flusso di autenticazione valido? O mi manca qualcosa qui?