Ecco i passaggi per configurare un pulsante di accesso Google su un client web: link
Quando fai clic sul pulsante di accesso Google, viene visualizzato questo:
Tutte le interazioni sono tra l'IDP (Google) e il browser dell'utente.
C'è qualcosa che impedisce a un'app dannosa di copiare / modificare il codice sorgente dell'app, falsificare la buona app e rubare un token valido dall'IDP quando l'utente esegue l'accesso?
Quando l'utente seleziona un account con cui effettuare l'accesso, viene indirizzato a una pagina di accesso (se non attualmente connesso) e quindi / o inviato "indietro" all'app in questione, insieme al token SSO. Dico "indietro" perché l'utente verrà inviato all'URL che è stato specificato quando l'app è stata configurata per SSO. Quello non sarà il sito dell'attaccante; l'utente malintenzionato non sarà in grado di visualizzare il token SSO.
Google (o altri IDP) potrebbe anche tentare di verificare da dove proviene l'utente (controllando l'intestazione Referer) per assicurarsi che non sia un'altra app Web a falsificare l'ID client dell'app legittima, ma probabilmente non è necessaria.