Sto cercando di integrare Google OpenID Connect (OAuth 2.0 per il login) come opzione di accesso per un'applicazione web.
La mia domanda: l'uso di OpenID Connect (e schemi simili) implica che Google potrebbe impersonare i miei utenti, accedere al mio sito Web e accedere a tutti i loro dati lì?
La mia ipotesi è che la risposta potrebbe essere diversa per il "flusso del server" rispetto al "flusso implicito" (vedi link Google), con quest'ultimo che coinvolge javascript nel browser. Ma a seconda dell'implementazione sottostante da parte di Google, non ne sono sicuro.
Non credo che Google abbia alcun interesse a commettere atti criminali di accesso non autorizzato alla rete, ma d'altra parte, una vulnerabilità è una vulnerabilità e voglio capire la reale relazione dei sistemi.