我开始使用 OAuth 2.0 和 Google 进行身份验证。我正在使用 Google 的Using OAuth 2.0 for Login文档,一切正常。我有一个关于该verified_email领域的问题。它是这样记录的:
verify_email :指示 Google 是否能够验证电子邮件地址的标志。
但这到底是什么意思?在以这种方式进行身份验证时确保电子邮件得到验证是否被认为是最佳实践,或者我们已经收到带有正确电子邮件证明的回复这一事实是否足以使用户成为所述电子邮件帐户的所有者?
问问题
1429 次
2 回答
9
无论邮件是否由谷歌托管,这意味着不同的事情。
- 如果用户有一个电子邮件地址@gmail.com 或@hosted-example.com,其中hosted-example.com 是使用Google 应用程序(尤其是托管Gmail)的域,那么Google 帐户也会实施访问控制/登录到电子邮件帐户。在这种情况下,verified_email 位始终为“真”,但实际上保证比“Google 已能够验证电子邮件地址”更强。
- 另一方面,如果电子邮件地址位于非 Google 托管的帐户上,例如 @yahoo.com,则意味着 Google 能够在某些情况下验证它(通常通过向用户发送电子邮件并获得收据确认)时间点。信息可能不是最新的:用户可能已失去对该帐户的控制。因此,在这种情况下,该信息可能对垃圾邮件信号有用,但可能不应仅用于某些更关键的操作,例如帐户恢复。
于 2012-06-05T22:27:39.553 回答
2
+1 @user1289356 的回答。
此外,出于身份验证的目的,您需要使用“id”作为您的唯一标识符,而不是电子邮件地址。
于 2012-06-05T22:31:05.600 回答