He implementado el inicio de sesión de Google (OAuth2) en mi sitio web. Coincide con los usuarios por correo electrónico, es decir, si su correo electrónico es el mismo en Google que en nuestro sistema, y tiene habilitada la autenticación de Google en mi sitio web, ha iniciado sesión.
¿Debo habilitarlo para todos de forma predeterminada ? Quiero hacerlo asumiendo que alguien controla la cuenta de Google, ellos controlan la cuenta de correo electrónico asociada y, por lo tanto, ya tienen acceso a la cuenta de usuario en mi sitio web (ya que implemento el restablecimiento de contraseña por correo electrónico).
¿Debo tener en cuenta alguna implicación de seguridad?