OpenID Connect FAQ说,其中一个主要用例是它允许"站点开发人员在不承担存储和管理密码的责任的情况下对用户进行身份验证"。
Google+ Sign-In是OpenID Connect的实现。我的理解是,您向Google注册了一个应用程序,然后选择希望该应用程序可以访问的Google API。
仅使用该服务进行身份验证(对于基于浏览器的应用),而不使用任何Google API,这是否是Google+登录的有效使用?
如果这是服务/技术的有效应用程序,那么在哪里可以很好地描述Web应用程序需要做什么来集成该身份验证功能,以及这对Web应用程序的HTTP API设计和后续实现有什么影响?
您当然可以使用Google+登录进行身份验证,而无需API访问权限,因为这是OpenID Connect允许您执行的操作。从 Google 返回后,您的网络应用将收到一个用于识别用户的id_token,以及一个用于对抗 Google API 的access_token。您可以决定只使用id_token中的信息并删除access_token。
该规范可能是阅读此内容的最佳位置:http://openid.net/specs/openid-connect-core-1_0.html
有关作为 Apache Web 服务器的身份验证模块的示例实现,请参阅 https://github.com/pingidentity/mod_auth_openidc