Ho un sito web che utilizza Azure Active Directory o Google + per l'accesso. Eseguo un flusso di accesso OAuth2 e vengono restituiti gli e-mail degli utenti insieme ai loro token per me dal loro servizio di identità.
L'indirizzo email dell'utente è la loro identità e le risorse estranee (token e altre cose) sono memorizzate utilizzando l'indirizzo e-mail come chiave esterna.
In questo momento sto salvando l'indirizzo email degli utenti in una stringa pesantemente crittografata, e quando la pagina viene caricata, cerco un cookie, lo decrypt, e trovo l'indirizzo email e apro quell'account.
Questo è sicuro? C'è un buon modello per la memorizzazione degli utenti Identità?
Non voglio forzare i miei utenti a dover effettuare il login ogni volta che visitano il sito Web, ma deve essere sicuro.