这种情况有可能发生吗?
Alice在我的系统上使用她的电子邮件地址alice@example.com创建了一个帐户。
Bob使用Alice的电子邮件alice@example.com在某些OAuth提供商(例如Google,Facebook,Twitter等)上注册了一个新帐户。但是,在OAuth提供者系统上,未激活他的注册电子邮件。因为他无法访问爱丽丝的电子邮件
Bob使用OAuth提供程序帐户登录到我的系统。我的系统使用他的OAuth帐户从OAuth提供程序检索他的帐户信息,包括电子邮件地址(alice@example.com)。我的系统识别出已经有与此alice@example.com电子邮件相关联的帐户,即在步骤1中Alice创建的帐户。只需将OAuth帐户链接到Alice的帐户,然后让Bob登录到Alice的帐户。
OAuth身份验证定义中是否存在强制OAuth提供程序仅返回安全电子邮件地址的引用?
谢谢