Google OpenID Connect для аутентификации без использования каких-либо API Google

Question

OpenID Connect FAQ говорит, что одним из основных вариантов использования является то, что он позволяет «разработчикам сайта аутентифицировать пользователей, не беря на себя ответственность за хранение и управление паролями».

Google+ - это реализация OpenID Connect. Я понимаю, что вы зарегистрировали приложение с Google, и вы выбираете API Google, к которому вы хотите, чтобы это приложение имело доступ.

Было бы правильным использование Google+ для входа в систему только для использования службы аутентификации (для браузера) без использования каких-либо API Google?

Если это действительное применение службы/технологии, где хорошо описывается, что веб-приложение должно выполнить для интеграции этой функции аутентификации, и какое влияние это оказывает на разработку HTTP API-интерфейса веб-приложения и последующая реализация?

Answer 1

Вы можете использовать Google+ для аутентификации без доступа к API, так как это позволяет OpenID Connect. По возвращении из Google ваш webapp получит id_token, который идентифицирует пользователя и access_token, который вы используете против API Google. Вы можете просто использовать информацию в id_token и опустить access_token.

Спецификация, вероятно, лучшее место, чтобы читать на этом: http://openid.net/specs/openid-connect-core-1_0.html

Для реализации образца в качестве модуля аутентификации для веб-сервера Apache, см https://github.com/pingidentity/mod_auth_openidc