Добрый день!
Мне кажется, что затея у Google была такая:
Создаётся сайт (клиент Google API) и проект на Google.
В учётных данных пользователя этого проекта указывается мейл пользователя
и URL2, на который проект разрешает переход после успешной авторизации.
В учётных данных клента указывется URL1 сайта, с которого будет
отправляться запрос на авторизацию.
На сайте-клиента URL1, по клику пользователя по кнопке "зайти через гугл",
запускается класс API отправляющий запрос на авторизацию.
На URL2 запускается класс API отправляющий запрос для получения результата авторизации.
Что у Google не верно с точки зрения безопасности?
Попытайтесь сформулировать более конкретно Ваши опасения.
Удачи!
|