Как справиться с потоком входа в социальные сети на моем сайте - поток проблем c и лучшие практики

Question

Так что я много читал о входе в социальные сети в Интернете. Проблема c поток:

1) Пользователь регистрируется с помощью обычного адреса электронной почты

2) Пользователь входит в систему через социальные сети (Facebook, Google и т. Д. c.) Что мне делать ?

Если социальный адрес электронной почты отличается от исходного, это нормально, для меня это другая учетная запись. Но если адрес электронной почты такой же, я веду себя так, как будто это один и тот же пользователь.

Проблема заключается в следующем сценарии:

1) Регистрация пользователя с помощью обычного адреса электронной почты

2) Злоумышленник регистрируется в социальных сетях с адресом электронной почты пользователя (без подтверждения адреса электронной почты)

3) Злоумышленник может войти в мою систему как Пользователь.

Итак, вопрос в следующем: есть основные социальные сети (facebook, google, ...), которые позволяют входить на другой сайт через социальные сети без подтверждения электронной почты пользователя?

Как вы думаете? Спасибо!

Answer 1

Большинство сайтов фактически просто сопоставляют значения социальных снежинок с идентификаторами пользователей. Например, потоки будут go следующим образом:

Вот поток, если пользователь регистрируется с помощью электронной почты

1. Пользователь регистрируется с помощью обычного адреса электронной почты
2. Пользователь теперь могут связать свою социальную сеть с обычной учетной записью для входа в социальную сеть (адрес электронной почты не обязательно должен совпадать)
3. Прибыль

Вот последовательность действий, если пользователь регистрируется в социальной сети

1. Пользователь регистрируется в социальных сетях
2. Используйте социальные сети для автозаполнения обычных полей учетной записи
3. Запрашивайте любые необходимые дополнительные поля (оставьте пароль нулевым, если вы хотите требовать входа в социальные сети)
4. Свяжите значение социальной снежинки с существующей учетной записью.

Если вам нужны какие-либо разъяснения, спросите, но я изо всех сил старался объяснить:)

Текущие поставщики, которые считаются «безопасными» для потока задач c, о котором вы говорите, будут Google и Microsoft (включая Azure AD), насколько мне известно.