Sé que probablemente hay muchas respuestas existentes a esta pregunta, pero hasta ahora no he podido encontrar una respuesta simple y detallada.
En la aplicación de Android hay dos botones, iniciar sesión con Facebook e iniciar sesión con Google. Cuando el usuario haga clic en cualquiera de estos botones, se realizará una solicitud al fb / g + api del cliente utilizando su SDK proporcionado por fb / g + y devolverá un ID único, nombre, correo electrónico, perfil-img-url y género.
después de eso, uso el correo electrónico y la identificación del usuario para verificar si existe o no una cuenta con el correo electrónico y la identificación. Esto se hace con un script php que hace una instrucción sql preparada. si el usuario existe, el script devolverá los datos del usuario; si el usuario no existe, enviaré otra solicitud a otro script de php para que se registre con todos los detalles que recibí de la autenticación.
Me temo que hay muchos problemas de seguridad con esto. Sé que muchas aplicaciones han pasado por el mismo problema. Utilizo una identificación de 10 dígitos y el correo electrónico de los usuarios para iniciar sesión. ¿Puede explicar si existe alguna forma de que un atacante que sabe que el correo electrónico pueda iniciar sesión en la cuenta de otro usuario? El atacante también podría intentarlo varias veces porque inicia sesión en una solicitud json básica con el correo electrónico y la identificación como parámetros. Podría proteger la aplicación que evitará que los usuarios lo intenten más de unas cuantas veces, pero creo que la capacidad de un atacante de intentarlo tanto como quiera es un riesgo, cualquier sugerencia que haga más difícil que un atacante lo intente varias veces. un pequeño periodo de tiempo?