Xác thực của Google: OAuth2.0 Vs OpenID Connect

Question

Tôi đang đánh giá các tùy chọn có thể được cung cấp bởi Google để thêm đăng nhập google trong ứng dụng web của tôi. Các tùy chọn có thể là tôi thấy là

1. Google+ | Đăng nhập
2. OAuth2.0
3. OpenID Connect (OAuth2.0 cho Login)

tôi didnt đi với một 1st như nó giới hạn API các cuộc gọi tôi có thể thực hiện trong một ngày tới 10000

Trong số 2 & 3, tôi nghiêng về thứ ba. Tôi không thực sự cần ủy quyền API và tôi không quan tâm đến hết hạn mã thông báo truy cập trong trường hợp của tôi. Khi tôi nhận được hồ sơ người dùng từ Google, ứng dụng web của tôi sẽ quản lý phiên riêng của người dùng đó và không cần phải truy vấn Google về bất kỳ dữ liệu nào khác có liên quan đến người dùng. Và theo tài liệu của Google, # 3 cho phép tôi tùy chỉnh màn hình đồng ý của Người dùng, trong khi 1 & 2 không.

Mọi nhận xét về so sánh của tôi giữa 2 & 3?

Answer 1

Trong thực tế 2. bao gồm sử dụng/tiện ích mở rộng cụ thể của Google OAuth 2.0 để thiết lập danh tính người dùng ở trên ủy quyền được cung cấp bởi lõi OAuth 2.0. Sử dụng 2. bạn sẽ phải đảm bảo rằng bạn chỉ nhận được mã thông báo truy cập trong luồng code và bạn sẽ phải thực hiện cuộc gọi nội bộ cụ thể của Google để tìm ra người dùng là ai, nơi danh tính của người dùng được trả lại trong xác nhận quyền sở hữu cụ thể của Google.

Mặt khác, 3. là một cách tiêu chuẩn hóa để đăng nhập người dùng thông qua nhà cung cấp bên thứ ba, do đó, đây là lựa chọn an toàn trong tương lai mà bạn sẽ tìm thấy thêm hỗ trợ trong thư viện/sdk (ít nhất là trong tương lai gần).