После аутентификации через Facebook / Google, что происходит на стороннем веб-сайте

Question

Насколько я понимаю,

1. Пользователь на стороннем веб-сайте нажимает кнопку входа с помощью Facebook / Google.
2. Пользователь перенаправляется на Facebook / Google, где он вводит свои учетные данные иСервер сторонних веб-сайтов получает токен доступа и, используя этот токен, получает информацию о пользователях.3.После вышеуказанного шага, имеет ли сторонний веб-сайт свой собственный сервер авторизации и генерирует ли токен доступа для пользователя, чтобы получить доступ к его собственным ресурсам, или он может использовать токен доступа, генерируемый facebook / google для каждого запроса?

Я полагаю, что токен доступа, сгенерированный Facebook / Google, может использоваться только для получения некоторой информации о пользователе от Facebook / Google (или просто для аутентификации).Для ресурсов, принадлежащих стороннему веб-сайту, они должны реализовать собственный механизм безопасности.

Answer 1

Ваше предположение верно.С помощью Facebook / Google OAuth третье лицо может только подтвердить, что пользователь успешно вошел в свою учетную запись Facebook / Google.Третья сторона может проверить успешность входа в систему, например, отправив запрос в API Facebook / Google с возвращенным маркером доступа, и посмотреть, был ли запрос успешным.Если этот запрос был успешным, сторонний веб-сайт может затем вернуть токен доступа, сгенерированный его собственным API для ресурсов его собственного API.