Oauth 2.0 与Google plus一起使用Signin是否存在任何风险

我正在构建一个web应用程序，并决定允许用户使用客户端api使用google plus登录

现在，我想知道这有多安全，因为我必须提供一个回调函数，它将在按钮加载后被调用

我想知道用户是否可以编辑这个函数，并在注册后处理发生的事情。 此外，在使用此类登录服务时，是否有确保安全性的推荐方法

---

谢谢

维护您自己的安全登录系统并非易事。当你依靠谷歌作为你的身份提供商时，你就拥有了谷歌工程师，他们是世界上最好的，能够保护数亿个账户的安全，防止一些最具攻击性、最聪明、最有动机的黑客攻击，这些黑客背后有着巨大的资源。你可以相信，他们在应对这些威胁时会比你做得更好

现在，你正确地看到了从谷歌到你的站点的切换，这是一个需要进行额外检查的潜在点。到达站点的成功回调应该包括一个访问令牌（以及混合服务器端流中的一次性授权代码）。您可以立即使用该令牌执行API请求，以验证该令牌是否合法且未伪造。事实上，许多网站都会立即使用名称、图片、电子邮件等填充用户记录

如果该令牌导致API的访问拒绝失败，则说明出现了问题，您不应该信任回调

您还可以验证返回的ID令牌。ID令牌经过加密签名，以确保它们未被篡改。这是一个更复杂的过程，在需要将令牌从客户端发送到后端时非常有用，以便后端可以验证令牌是否来自真实用户和特定客户端。看