Безопасна ли автоматическая авторизация на сайте по возвращенному email от соц. сети?
Есть внутренняя база пользователей (почта, пароль). Добавляем возможность авторизации через соц. сеть.
Если пользователь успешно авторизовался через соц. сеть (всплывающее окно, успешное получение access_token, успешное получение email от соц. сети),
то происходит автоматическая авторизация пользователя с почтой из внутренней базы.
На сколько безопасна данная логика? Не может ли каким-то способом социальная сеть вернуть "чужой" адрес почты? На сколько плохо (или может и нет?) в принципе делать такой подход?
Данная логика помогла бы сделать автоматическую привязку соц. сетей к профилям пользователей сайта без необходимости дополнительных манипуляций.
Если почты в соц. сети и на сайте — разные, то авторизация не пройдет, пока в профиле сайта принудительно не выполнить привязку соц. сети с другой почтой к текущему профилю.
Средний
Простой
Простой
Сложный
Средний
