У меня есть веб-сайт с логином через Amazon и LinkedIn. Когда пользователь впервые входит в систему на одной из сторон OAuth, создается новая учетная запись. Если пользователь вошел в систему с помощью Amazon и хочет подключить свою учетную запись LinkedIn, будет произведена проверка существующей учетной записи, связанной с этим идентификатором пользователя LinkedIn. Предполагая, что учетной записи не существует, какой безопасный способ подключения учетной записи LinkedIn?
Способ, которым я могу подключить учетные записи, - это взять токен доступа для своего веб-сайта и отправить его с кодом аутентификации (который используется для получения токена доступа API LinkedIn, который используется для получения идентификатора пользователя LinkedIn) от аутентификации LinkedIn к моему бэкэнду, который соединяет учетные записи. Меня беспокоит это решение: кто-то может иметь вредоносное расширение chrome, которое собирает токен доступа с моего веб-сайта, поэтому теоретически кто-то может сгенерировать и аутентифицировать код со своей учетной записью LinkedIn, используя токен доступа другого пользователя на моем веб-сайте. и подключите их (плохой актер) учетную запись LinkedIn к чужой учетной записи пользователя и получите к ней доступ. Как люди обходят эту возможную атаку? Я мог бы добавить второй шаг проверки электронной почты, но Devpost и dev.to не делают этого при подключении учетных записей.