У меня есть расширение для Chrome, которое позволяет пользователям входить в систему исключительно с помощью Google, а не другого провайдера.
В моем бэкэнде (node + coachdb) мне нужно создать учетную запись пользователя из ответа авторизации, предоставленного google oauth2 API. Я думал об использовании хэша id_token в качестве пароля после проверки токена с помощью API информации о маркере
Я понимаю, что id_token время от времени меняется. В этом случае я надеялся автоматически обновить пароль пользователя.
Вот поток, который я имел в виду:
1) Пользователь входит во внешний интерфейс и получает идентификатор id_token от Google
2) Токен идентификатора отправляется на сервер и проверяется с помощью tokeninfo API
3) В случае подтверждения создается учетная запись пользователя с паролем. являющийся хешем id_token.
Видите ли вы какие-либо дыры в безопасности этого потока? Если да, то каковы альтернативы?
