Есть ли вероятность возникновения такой ситуации?
Алиса создает учетную запись со своим электронным адресом alice@example.com в моей системе.
Боб регистрирует новую учетную запись у какого-либо поставщика OAuth (например, Google, Facebook, Twitter, ...) по электронной почте Алисы alice@example.com. Однако в системе поставщика OAuth его зарегистрированный адрес электронной почты не активирован. Потому что он не может получить доступ к электронной почте Алисы
Боб использует учетную запись поставщика OAuth для входа в мою систему. Моя система использует его учетную запись OAuth для получения информации о своей учетной записи от поставщика OAuth, включая адрес электронной почты (alice@example.com). Моя система распознает, что с этой alice@example.com электронной почтой уже есть учетная запись, т. Е. Созданная Алиса учетная запись на шаге 1. И просто свяжите учетную запись OAuth с учетной записью Алисы и позвольте Бобу войти в учетную запись Алисы.
Есть ли какая-либо ссылка из определения аутентификации OAuth, которая заставляет поставщика OAuth возвращать только безопасный адрес электронной почты?
Спасибо