imagine que ha asegurado su aplicación con oauth2 y varios proveedores oauth.
Ahora imagine que alguien utiliza el proveedor A con el correo electrónico [email protected] para iniciar sesión.
La próxima vez, alguien usa el proveedor B con el mismo correo electrónico [email protected] para iniciar sesión.
Ambos proveedores declaran que la dirección de correo electrónico está verificada y ambas son grandes empresas (no hay forma de especificar su propio proveedor o algo así).
¿Debe asignar ambos inicios de sesión a la misma cuenta? ¿Cuáles son los riesgos?
Los riesgos que ya veo son que la superficie de ataque está creciendo: si quiero hackear la cuenta de Bob, puedo intentar hackear al proveedor A o B. Pero el beneficio sería más conveniencia para Bob, ya que no tendrá que recordar qué proveedor usó ...