Использование OAuth для аутентификации виджета Календаря GoogleApps в нашем веб-приложении (Использование Google в качестве клиента OAuth с двумя ножками)

В настоящее время я изучаю возможность интеграции календаря Служб Google с моим приложением. Один из моих вариантов использования включает добавление пользовательского виджета в календарь. Пользователь будет использовать этот виджет для добавления специальных событий календаря, затем он свяжется с моим приложением, используя oauth для запуска дополнительной бизнес-обработки.

• Как мне безопасно подключиться к моему приложению через OAuth из виджета Google?
• Есть ли у Google API / поддержка для того, чтобы быть потребителем OAuth?
• Или же Google-приложения предоставляют сервис, где я могу безопасно хранить и получать доступ к ключу и секретному ключу OAuth на уровне домена, при этом ключ не видят отдельные пользователи?

Я рассмотрел использование отдельного веб-приложения для размещения ключа и секрета потребителя. Но это только пинает проблему в будущем. Как убедиться, что запрос к этому приложению получен от аутентифицированного пользователя Google-приложений в определенном домене? В этом случае мне придется использовать OpenId или аналогичный.

• Если так, то мне лучше использовать OpenId для этого варианта использования и полностью пропустить OAuth?

(Примечание. Я уже прочитал столько документации по Google OAuth, сколько смогу найти. Пожалуйста, не делайте ссылки на другие документы, если в них конкретно не указано, что Google использует OAuth-клиент или как использовать Google для управления ключами OAuth-клиента).