标签: oauth gmail oauth-2.0 hipaa
我正在创建一项服务来保护通过电子邮件发送的个人数据。由于gmail是一种常见的传输方式,因此我想允许用户使用Gmail对我的服务进行身份验证,该服务可保存其数据。但谷歌持有用户名(他们的Gmail地址),并签署了我的服务的访问令牌。这是否意味着有权访问Google身份验证数据的攻击者可以访问我的服务?
对所有实用的思想家说一句话 - 我知道我的服务遭受入侵的风险要高于Google的服务。我很欣赏对来自任何提供商的OAuth签名是否允许身份提供商访问OAuth消费服务上的数据进行技术评估。