Проверка пользователей, аутентифицированных с помощью Oauth

Question

У меня есть поддержка Oauth для приложения, над которым я работаю.Я пытаюсь проработать логику связывания учетных записей Oauth.

Пример:

Допустим, пользователь уже входил в систему раньше.Они аутентифицированы с помощью Facebook.Теперь у меня есть адрес электронной почты, который, как я могу с уверенностью, всегда будет уникальным для этого пользователя.Тем не менее, Twitter не предоставляет адреса электронной почты через свою реализацию Oauth, поэтому, если кто-то войдет в Twitter, а затем в Facebook, как мне правильно связать свою учетную запись?Я не могу использовать имя пользователя или обработчик, потому что, очевидно, это может варьироваться в зависимости от поставщика.Есть ли другой способ, которым я мог бы сделать это?

Требуется ли от пользователя вводить свой адрес электронной почты, если он использует Oauth-провайдера, который его пропускает?Я пытаюсь собрать лучший пользовательский опыт и самую стабильную систему - поэтому ваша помощь высоко ценится.

Answer 1

Если вы рассматриваете возможность работы с несколькими поставщиками удостоверений, лучшим решением будет использование внутреннего идентификатора, уникального для вашей системы, а затем связывание внешних учетных записей с этим идентификатором во время внешней аутентификации. Кроме того, пользователи в FB могут изменить свой основной адрес электронной почты, поэтому можно с уверенностью предположить, что он уникален, и, вероятно, небезопасно предположить, что он является текущим.