Ho pensato - diciamo che un utente si iscrive al tuo sito nel modo "standard". Cioè, inseriscono un indirizzo e-mail, magari un nome utente e una password, e completano la procedura di iscrizione. È quindi ragionevole, in termini di sicurezza, consentire in un secondo momento di accedere utilizzando l'autenticazione Google?
Ad esempio, considera il seguente flusso:
- Usidore si registra con il suo indirizzo e-mail,
[email protected]
- Usidore si disconnette e dimentica il sito per un po '.
- Usidore, non ricordando quale metodo di registrazione ha usato, cerca di accedere con il suo account Google che ha l'e-mail
[email protected]
, ed è collegato al suo account originale.
Il mio fondamento logico è che l'account Google è (per quanto ne so) garantito dalla proprietà di chi ha accesso all'e-mail - l'utente. Nel caso in cui colui che ha accesso all'e-mail non sia l'utente, beh ... l'hacker potrebbe comunque eseguire una reimpostazione della password, in modo da non introdurre ulteriori buchi. Potrebbe anche essere più sicuro di così, grazie alla logica anti-hacking di Google sfocata.
Ora, questo sarebbe probabilmente rendere impossibile avere +
-es nel tuo indirizzo e-mail, dato che Google li usa per uno scopo speciale mentre altri non . Correggimi se sbaglio, però, e potrebbe esserci un modo per farlo funzionare.
In ogni caso - sarebbe sicuro? C'è qualcosa che non sto considerando, e non sarebbe? Forse sarebbe solo sicuro per gli indirizzi Gmail per qualche motivo? Forse sarebbe sicuro solo se l'utente collega esplicitamente l'account Google all'account del sito (ma poi di nuovo, forse no, non ne ho idea). Mi piacerebbe saperlo.