これは非常に高レベルの質問であり、高レベルの回答にもなるので、正しい方向に向けたいくつかの指針を探しています。
ユーザーのGoogleコンタクトを管理するためのWebアプリケーションを構築したいとします。これは、ユーザーがGoogleの連絡先を管理するための権限を要求しながら、自分のGoogleアカウントでログインできるようにすることで実現されることを理解しています。ここまでは順調ですね。
次に、外部ブラウザ拡張機能やAndroidクライアントなどの独自のAPIレイヤーを公開したいと思います。しかし、APIクライアントがGoogleに対して認証されるようにしたいのですが、シークレットとして、アプリケーションがユーザーのカレンダーに完全にアクセスできるようにしたくありません。トークンはサーバーに保存されます。
では、これは通常どのように処理されますか?多くのセキュリティコードを実装せずに、できるだけ本でやりたいと思っています。
ところで、質問のレベルが高すぎますが、技術的なドキュメントを教えてください。
ありがとう