Я выполнил приведенную здесь инструкцию, чтобы открыть кнопку входа в Google.
https://developers.google.com/identity/sign-in/web/sign-in
Чтобы подтвердить токен на стороне сервера, я звоню GoogleJsonWebSignature.ValidateAsync()
, как описано в этих ответах.
Подтвердить токен идентификатора Google
Все это работает, но я не использую секрет клиента в настройке Идентификаторы клиента OAuth 2.0 на странице учетных данных Google.
Делаю ли я что-то менее безопасным?
Снижена ли потребность в секрете клиента с помощью авторизованных источников Javascript в настройке идентификаторов клиента OAuth 2.0, потому что, в конце концов, секрет клиента должен гарантировать легитимность вызывающего абонента?