OAuth2，使用Facebook和Google創建本地帳戶

Question

我目前正在嘗試基於OAuth2的註冊/登錄到我正在進行的項目。

一個念頭打動了我;如果用戶第一次決定使用Facebook登錄該網站並且第二次使用Google;

1）是否有可能將兩種不同的登錄方法連接到同一個帳戶？

2）這是一個好主意嗎？

起初我以爲我可以使用電子郵件作爲唯一標識符，但我懷疑這是否足夠安全。

有沒有辦法做到這一點，或者你應該簡單地爲兩者創建兩個單獨的帳戶，具體取決於他們使用哪種登錄方法？

Answer 1

爲什麼電子郵件作爲唯一標識符缺乏安全性？ 唯一的問題可能是用戶在Facebook上有一種垃圾郵件地址，以避免這些電子郵件通知。但是你可以給用戶一個cookie，如果他試圖用谷歌而不是Facebook來驗證身份，那麼他可以創建他的賬戶，你可以解決一個功能，使他能夠將谷歌子賬戶連接到主賬戶，創建與臉譜。但是這需要相當長的時間;）

Answer 2

Facebook有一個關於這個問題的指導頁面。這是相對於安全問題和最佳做法相當全面：

如果您使用的電子郵件地址作爲唯一憑證標識每個帳戶，您的應用程序應該驗證與人的Facebook賬戶相關聯（並獲得電子郵件地址在Facebook登錄期間）有效。您可以通過在您的應用程序中創建代碼將驗證電子郵件發送到Facebook登錄後獲得的地址（您可能需要將此步驟作爲常規登錄系統的一部分）來完成此操作。

https://developers.facebook.com/docs/facebook-login/multiple-providers

無論你是否認爲這有必要將取決於你的網站做或者通過登錄允許。