が、私は標準の電子メール認証だけでなく、2つのOAuthのサービス(GoogleとFacebookのを言う)が存在するユーザーがFacebookでサインアップしたが、その後、彼らは介してログインしようとした場合ユーザーアカウントの通知は、私のアプリケーションで
定期的な電子メールの認証、私は彼らにFacebookを使用するように指示する必要がありますか?
最初は、これは簡単だと思っていましたが、これが潜在的なセキュリティの影響を受ける可能性があることを認識しました。
あなたはどう思いますか?
(また、スタックオーバーフローに依頼するこの罰金である、または私はソフトウェア工学に再投稿してください)
ユーザーがFacebookの(またはいくつかの他のサービスの)を無効にしている可能性があります見ることができるオプション彼/彼女の電子メールでアップ。したがって、攻撃者はユーザーが非公開としてマークした情報を取得できるため、Facebook経由のログインを提案するメッセージを表示するのは良い解決策ではありません。
私がすることは、ユーザーが「無効なユーザー」の行に何かに存在しないときに表示されるメッセージを変更することです。既に他のサービス(Facebookなど)を使用してサインアップしている場合は、そのサービスを使用して) "このメッセージは、存在しないユーザーとサービスを使用してサインアップしたユーザーの両方に提示します。このようにして、攻撃者は、サインアップしていないユーザーとサービスを使用してサインアップしたユーザーを区別することはできませんが、合法的なユーザーは何が間違っているかのヒントを得ています。私はいくつかのユーザビリティの問題が発生すると信じていますが、この方法では、ユーザのプライバシーははるかに優れています。