Google plus 谷歌+；与API集成的登录

我有一个网站，允许用户根据我自己的数据库登录。我已经将这个登录系统迁移到，它在基于UI的登录工作流中运行良好

我的网站还允许用户通过我们定制的RESTAPI执行一些操作。我希望我的API用户也能通过谷歌登录。谷歌是否提供了一个标准的工作流程，让我们的最终用户从谷歌进行身份验证，并向我的API发送身份验证令牌

若谷歌并没有定义标准的工作流，那个么我就想到了一种黑客的方式，即用户将其用作API密钥。我不会将刷新令牌存储在DB中，而是用户将以API访问密钥的形式将刷新密钥发送到我的API。API将从google生成访问令牌。用户将使用访问令牌作为进一步请求的会话密钥（abt 1小时）。这是前进的正确方向吗？这里面有安全漏洞吗