Si un usuario registra una cuenta en mi sitio web con la autenticación de Facebook, ¿puedo omitir de manera segura el "correo electrónico de verificación" que generalmente se envía a los usuarios que se registran sin Facebook (es decir, de forma habitual) formulario de registro "datos personales + correo electrónico + contraseña")?
¿O hay algún propósito para enviar este correo electrónico de verificación (por ejemplo, para confirmar la dirección de correo electrónico del usuario)?
El "correo electrónico de verificación" sirve para tres propósitos (al menos):
Para disuadir a las personas malvadas que crean automáticamente miles de usuarios, con propósitos infames (por ejemplo, spamming). Con la verificación de los correos electrónicos, estas personas deben al menos proporcionar direcciones de correo electrónico que funcionen, lo que las hace más fáciles de rastrear que cuando no lo hacen. Además, el menos competente de tales atacantes aspirantes puede tener dificultades para crear automáticamente miles de direcciones de correo electrónico en funcionamiento.
Para grabar de su lado una dirección de correo electrónico que funcione, más o menos, en caso de que necesite ponerse en contacto con los usuarios nuevamente.
Para proteger los restablecimientos de contraseña. Cuando un usuario se registra con una dirección de correo electrónico dada, entonces el control de esa dirección servirá como la autenticación de respaldo para ese usuario. "Control" aquí significa "capacidad para leer los correos electrónicos enviados a esa dirección".
Si usas la autenticación de Facebook, entonces le das todo esto a Facebook, por lo que tiene sentido simplemente olvidarlo. La falta de un propósito independiente para la confirmación de la dirección de correo electrónico del usuario destaca el hecho de que realmente está entregando el control de acceso de su servidor a Facebook.
(Por supuesto, la confirmación de la dirección de correo electrónico del usuario aún es necesaria o, al menos, recomendada si tiene la intención de enviarle un correo no deseado enviarle algún tipo de boletín).
Lea otras preguntas en las etiquetas authentication facebook email