我正在创建一项服务来保护通过电子邮件发送的个人数据。因为 gmail 是一种常见的传输方式,所以我想允许用户使用 Gmail 对我的服务进行身份验证,该服务保存他们的数据。但是 Google 拥有用户名(他们的 gmail 地址),并且还为我的服务签署了访问令牌。这是否意味着有权访问 Google 身份验证数据的攻击者能够访问我的服务?
对所有实际的思想家说一句话——我知道我的服务比谷歌的服务更容易受到损害。我希望对任何提供者通过 OAuth 登录是否允许身份提供者访问 OAuth 消费服务中保存的数据进行技术评估。