メールで送信される個人データを保護するサービスを作成しています。gmail は一般的なトランスポートであるため、Gmail を使用して、データを保持するサービスに対してユーザーが認証できるようにしたいと考えています。しかし、Google はユーザー名 (Gmail アドレス) を保持し、サービスのアクセス トークンにも署名します。これは、Google 認証データにアクセスできる攻撃者が私のサービスにアクセスできるということですか?
実践的な思想家の皆さんに一言 -- 私のサービスは、Google のサービスよりも侵害されるリスクがはるかに高いことを認識しています。任意のプロバイダーから OAuth 経由でサインインすると、OAuth を使用するサービスに保持されているデータに ID プロバイダーがアクセスできるかどうかについて、技術的な評価をいただければ幸いです。