Tengo una tabla de usuarios en mi aplicación SPA (aplicación Phoenix API) que contiene los campos: name , email , registered_at , role_id . Yo uso la autenticación OAuth2 por la API de Google. Una vez que el usuario final se autentica en la página de inicio de sesión de Google, mi biblioteca OAuth2 obtiene su dirección de correo electrónico de la API del perfil de Google y la uso para marcarlo en mi solicitud como autenticado (conectado) enviándole una token de autenticación firmado para futuras solicitudes autorizadas. Mi pregunta es este modelo seguro y seguro? ¿Sería posible que un atacante se autorizara en mi aplicación al manipular la respuesta de Google al insertar una dirección de correo electrónico personalizada dentro de la respuesta del perfil de Google? ¿Es seguro confiar solo en la dirección de correo electrónico obtenida llamando a la API de perfil de Google? ¿Se pueden tomar medidas de seguridad adicionales?