Facebook Omniauth电子邮件地址安全可靠吗？

Question

我有一个传统的设计用户认证系统，它简单地使用电子邮件和密码登录。我想在Facebook上添加登录。我的工作主要是这样的，但我对处理边缘案件的安全影响感到好奇。

假设这里发生了这样的事情：

1. 用户目前未经过身份验证，但有一个带有电子邮件"foo@bar.com“的现有帐户。
2. 用户单击“登录Facebook"，授权从Facebook访问
3. Facebook回我的服务器显示电子邮件为"foo@bar.com“

此时，我们有一个没有附加Facebook凭证的用户帐户，我们有一个没有附加用户的Facebook凭据，但是他们都有相同的电子邮件。

在这一点上有两种选择：

1. 向用户抱怨该电子邮件地址已经被其他用户使用，而要将Facebook添加到他们的帐户中，他们必须首先登录(使用他们的密码)并与Facebook帐户相关联。
2. 或者简单地将它们登录到具有相同电子邮件的帐户，然后将facebook凭据附加到他们的帐户上。

选项2是首选的，因为它更容易对用户，但它意味着允许访问一个帐户通过Facebook从来没有链接过Facebook。如果服务器从Facebook获得的电子邮件地址可以以任何方式被欺骗或更改，这是一个巨大的安全问题。

但我的服务器相信用户的电子邮件是安全的，Facebook也是如此。但我能相信他们之间的沟通吗？

Answer 1

您只能链接帐户，如果电子邮件已确认在这两个服务。

在您这边，您应该确认用户的电子邮件(使用设计可确认模块)。

在Facebook方面，他们应该发送一个verified_email字段，确认该帐户的电子邮件地址已经确认。不幸的是，Facebook只返回一个字段，它不仅受到电子邮件的影响，而且还受到短信确认和输入有效信用卡的影响。

然而，这封电子邮件似乎只有在确认后才会被退回。有关详细信息，请参阅这个问题。问题是我找不到证实这一点的正式文档(这是我所能得到的)，因此在此期间，我建议您自己测试它，以便绝对确定。如果您确实找到了正确的文档，请不要忘记在这里添加评论。