Tengo un sitio web que utiliza Azure Active Directory o Google+ para iniciar sesión. Paso por un flujo de inicio de sesión de OAuth2, y los usuarios envían un correo electrónico junto con sus tokens A mí por su servicio de identidad.
La dirección de correo electrónico de los usuarios es su identidad, y los recursos externos (tokens y otras cosas) se almacenan utilizando la dirección de correo electrónico como clave externa.
Ahora mismo estoy guardando la dirección de correo electrónico de los usuarios en una cadena fuertemente cifrada, y cuando la página se carga, busco una cookie, la descifro, encuentro la dirección de correo electrónico y abro esa cuenta.
¿Es seguro? ¿Existe un buen patrón para almacenar la identidad de los usuarios?
No quiero forzar a mis usuarios a tener que iniciar sesión cada vez que visitan el sitio web, pero es necesario que estén seguros.