Ho una tabella utenti nella mia applicazione SPA (applicazione Phoenix API) che contiene i campi: name
, email
, registered_at
, role_id
. Uso l'autenticazione OAuth2 dall'API di Google. Dopo che l'utente finale si autentica alla pagina di accesso di Google, la mia libreria OAuth2 ottiene il suo indirizzo e-mail dall'API del profilo di Google e io uso quell'indirizzo e-mail per contrassegnarlo nella mia domanda come autenticato (connesso) inviandogli un token di autenticazione firmato per future richieste autorizzate. La mia domanda è questo modello sicuro e protetto? Sarebbe possibile per un utente malintenzionato ottenere l'autorizzazione nella mia applicazione alterando la risposta di Google immettendo un indirizzo email personalizzato all'interno della risposta del profilo Google? È sicuro fare affidamento solo sull'indirizzo email ottenuto chiamando l'API di profilo di Google? È possibile adottare ulteriori misure di sicurezza?