Facebook: добавление Facebook OAuth к существующим учетным записям пользователей - проблемы безопасности

Question

У меня есть приложение, которое имеет стандартные учетные записи пользователей, и мы только что завершили интеграцию входа в Facebook в качестве опции. Это работает довольно хорошо, но если кто-то попытается войти через Facebook для адреса электронной почты, который уже существует как пользователь системы, я хотел бы связать его с существующей учетной записью пользователя.

Прежде чем я продолжу и сделаю это, все же безопасно ли это делать, не требуя, чтобы пользователь сначала вошел в систему? Если Facebook говорит, что у пользователя есть определенный адрес электронной почты, насколько я могу быть уверен, что это не фальшивка?

Я мог бы, при необходимости, настроить его так, чтобы пользователь должен был войти в мое приложение, а затем связать учетную запись Facebook вручную, но я бы предпочел сделать его максимально простым для них, не добавляя все виды шагов. .

Мысли

Answer 1

Я думаю, что лучшим вариантом было бы, чтобы пользователь вошел в свою учетную запись на вашем сайте, прежде чем связывать учетную запись Facebook.

Предположим, что у пользователя на вашем сайте нет учетной записи Facebook, связанной садрес электронной почты, который они используют, чтобы идентифицировать себя на вашем сайте.Злонамеренный пользователь создает его, используя свой адрес электронной почты, заходит на ваш сайт, чтобы связать учетные записи, и принимает первоначальную учетную запись пользователя.

Я считаю, что Facebook не требует аутентификации по адресу электронной почты для использования учетной записи.