Google-Authentifizierung: OAuth2.0 Vs OpenID Connect

Question

Ich bewerte die möglichen Optionen von Google für das Hinzufügen von Google Signin in meiner Webanwendung. Die möglichen Optionen, wie ich sehe, sind

1. Google+ Signin
2. OAuth2.0
3. OpenID Connect (OAuth2.0 für Anmeldung)

ich mit ersten man gehen knapp, da es die API begrenzt Anrufe ich kann an einem Tag zu 10000

machen Von 2 & 3 bin ich geneigt, für den 3. gehen. Ich brauche nicht wirklich API-Autorisierung und ich bin nicht besorgt über den Ablauf des Zugriffs-Tokens in meinem Fall. Sobald ich ein Nutzerprofil von Google erhalte, verwaltet meine Webanwendung ihre eigene Sitzung des Nutzers und muss Google nicht nach anderen Daten fragen, die sich auf den Nutzer beziehen. Und gemäß der Google-Dokumentation ermöglicht mir # 3, den Bildschirm für die Benutzerzustimmung anzupassen, während 1 & 2 nicht funktioniert.

Kommentar zu meinem Vergleich zwischen 2 & 3?

Answer 1

In der Tat 2. besteht aus einer Google-spezifischen Verwendung/Erweiterung von OAuth 2.0, um die Benutzeridentität zusätzlich zur Autorisierung von OAuth 2.0 zu etablieren. Mit 2. müssten Sie sicherstellen, dass Sie nur das Zugriffs-Token in einem code Fluss erhalten, und Sie müssten einen Google-spezifischen Introspektionsanruf durchführen, um herauszufinden, wer der Nutzer ist und wo die Identität des Nutzers in Google-spezifischen Ansprüchen zurückgegeben wird.

Auf der anderen Seite, 3. ist eine standardisierte Möglichkeit, Benutzer über einen Drittanbieter einzuloggen, so dass es eine zukunftssichere Wahl ist, für die Sie mehr Unterstützung in Bibliotheken/SDKs (zumindest in naher Zukunft) finden werden.