Нет, не глупый, а вдумчивый вопрос.
Используя Google или других поставщиков OAuth2 для входа в систему, все в порядке, вы запрашиваете набор областей, и когда ваш пользователь входит в систему и принимает решение продолжить, вы можете делать запросы в этих областях. Здесь описана последовательность действий для Google https://developers.google.com/identity/protocols/OAuth2.
Как правило, у вас не будет обширного доступа для манипулирования учетными записями пользователей, и для некоторых областей ваше приложение должно быть проверено , Для веб-приложений помните, что ваши пользователи увидят запрашиваемые вами области и всегда могут отклонить их. Из-за этого обычно рекомендуется запрашивать области, когда они вам нужны.
Если ваше приложение publi c использует области, которые разрешают доступ к определенным данным пользователя, оно должно завершить процесс проверки , Если вы видите непроверенное приложение на экране во время тестирования приложения, вы должны отправить запрос на подтверждение, чтобы удалить его. Узнайте больше о непроверенных приложениях и получите ответы на часто задаваемые вопросы о проверке приложений в Справочном центре. https://developers.google.com/identity/protocols/googlescopes
Это Google пытается обеспечить безопасность пользователей.
Кстати, пользователи всегда могут отозвать доступ, который они дали вашему приложению, в любое время и по любой причине.