L'uso di OpenID Connect per l'accesso implica che Google può impersonare i miei utenti?

2

Sto cercando di integrare Google OpenID Connect (OAuth 2.0 per il login) come opzione di accesso per un'applicazione web.

link

La mia domanda: l'uso di OpenID Connect (e schemi simili) implica che Google potrebbe impersonare i miei utenti, accedere al mio sito Web e accedere a tutti i loro dati lì?

La mia ipotesi è che la risposta potrebbe essere diversa per il "flusso del server" rispetto al "flusso implicito" (vedi link Google), con quest'ultimo che coinvolge javascript nel browser. Ma a seconda dell'implementazione sottostante da parte di Google, non ne sono sicuro.

Non credo che Google abbia alcun interesse a commettere atti criminali di accesso non autorizzato alla rete, ma d'altra parte, una vulnerabilità è una vulnerabilità e voglio capire la reale relazione dei sistemi.

    
posta WolfRevokCats 25.02.2015 - 20:23
fonte

1 risposta

5

La verifica non viene eseguita direttamente da te, quindi in linea di principio sì, Google potrebbe falsificare l'identità di uno dei suoi utenti dopo l'autenticazione.

Quello che succede durante l'autenticazione è che il tuo servizio contatta il provider OpenID di Google e chiede: "chi è questo utente?" . La risposta di Google sarà sulla falsariga di "questo utente è [email protected] e l'ho verificato " . È una questione di fiducia. Devi fidarti del provider di autenticazione per eseguire tale verifica.

    
risposta data 25.02.2015 - 21:45
fonte

Leggi altre domande sui tag