Ho un'estensione di Chrome che consente agli utenti di accedere esclusivamente con google e nessun altro provider.
Nel mio back-end (node + couchdb) I necessità di costruire un account utente dall'autore Response fornito da oauth2 api di google. Stavo pensando di utilizzare un hash del id_token come password dopo aver verificato il token utilizzando tokeninfo api
Comprendo che id_token cambia di volta in volta. In quel caso speravo di aggiornare automaticamente la password dell'utente.
Ecco il flusso che avevo in mente:
- L'utente accede al front-end e ottiene un id_token da google
- Il token ID viene inviato al server e verificato usando tokeninfo api
- Se verificato, viene creato un account utente con una password come hash di id_token.
Vedi qualche buco di sicurezza con questo flusso? Se sì, quali sono le alternative?