我使用Google的OpenID Connect服务对用户进行身份验证。如果email_verified字段错误,我正在考虑拒绝所有帐户,但我没有看到真实世界的情况,有人会在此字段设置为false的情况下点击我的系统。
首次登录Google时,用户的帐户会被验证,所以我们不会从第三方应用的角度对其进行验证吗?
答案 0 :(得分:8)
如果您从Google获得ID令牌,则系统会始终验证用户的电子邮件,此值为true。
在极少数情况下,用户尚未验证其帐户的电子邮件地址并尝试使用OpenID Connect,他们会看到一条错误消息,通知他们需要验证自己的帐户,并提供有关如何使用的步骤完成。这至少是Google的OpenID Connect实施的当前行为。
如果您依赖经过验证的电子邮件地址,那么出于正确性,您可能应该拒绝没有email_verified=true的登录信息,但好消息是您的系统不应该看到来自Google的案例。
不完全确定您如何使用该电子邮件,但通常身份验证系统使用sub和iss ID令牌声明来唯一标识用户& IdP,而不是依赖可能发生变化的电子邮件地址。