Facebook API：电子邮件字段是否保证经过验证？

我正在我的网站上使用Facebook按钮登录，并将使用电子邮件字段用于两个目的：

• 如果我的用户数据库中没有此电子邮件，请创建一个新帐户
• 如果我有具有此电子邮件地址的用户，请匹配现有帐户

Facebook是否保证在用户返回其API中的字段时验证用户拥有此电子邮件地址

---

否则，如果（不太可能）我的网站用户没有Facebook帐户，有人可以使用此电子邮件创建Facebook帐户，而不进行验证，使用他们的帐户登录到我的网站。

他们应该是这样的，但Facebook过去曾遇到过允许未经验证的电子邮件通过API的问题

如果你隐式地允许Facebook账户通过电子邮件链接，那么下次Facebook出现问题时，他们可以有效地控制你所有的用户账户

连接用户的安全方法是：

• 要求普通用户通过登录facebook帐户来链接他们的facebook帐户
• 请Facebook用户使用您的站点普通帐户登录

---

但这就是使用Facebook登录的具体目的，不是吗？允许用户注册到您的网站，而无需再次输入他们的信息。我知道用户不能设置电子邮件，我会处理这个问题；但是你的陈述有没有来源可能无法验证？有没有办法检查它是否被验证？@Benjamin它是用来验证用户的，而不是隐式地关联不相交的帐户。关于这个问题，这里有一个古老的疑问：不，没有办法检查。看起来几乎总是这样。@Benjamin啊，我想那只是一只虫子。我想，在下一次Facebook被窃听之前，可能是安全的不过，让人们显式链接他们的帐户更安全。非常好，谢谢你的提示。我很有信心相信这种行为。如果Facebook使用回归测试，没有理由两次出现相同的错误。FUD是开发者最大的敌人：）