Используя эту страницу: https://developers.google.com/identity/sign-in/web/sign-in
Действительно просто добавить кнопку на страницу для только для клиентской стороны входа в систему с помощью Google.
При нажатии кнопки пользователю предоставляется экран, подобный следующему:
Для этой кнопки есть 2 ux_mode: "popup" и "redirect":
https://developers.google.com/identity/sign-in/web/reference
Мой вопрос касается конкретно ux_mode = popup, когда исходная страница не изменяется, а весь поток входа обрабатывается в отдельном всплывающем окне.
Представьте себе, хорошее приложение опубликовано. Похоже, что злоумышленник может клонировать приложение, представить его пользователю. Пользователь, думающий, что это хорошее приложение, войдет в систему, и у злоумышленника будет возможность получить действительный токен от пользователя для хорошего приложения.
Теперь я понимаю, что в этом режиме (всплывающее окно) IDP (Google) будет отклонять все, что не исходит от источника, который не является частью явного списка URI перенаправления, установленного в конфигурации проекта.
Но разве это единственное, что этому мешает? Я читал снова и снова, что не следует полагаться на CORS для обеспечения безопасности. Также я не уверен, но кажется, что это может быть обойдено с небольшой обработкой.
Есть ли еще какой-то аспект безопасности этого потока входа, который я пропускаю?