Google api 需要对ID令牌的电子邮件\u验证字段进行澄清_Google Api_Google Oauth_Google Openid

Google api 需要对ID令牌的电子邮件\u验证字段进行澄清

google-api

Google api 需要对ID令牌的电子邮件\u验证字段进行澄清,google-api,google-oauth,google-openid,Google Api,Google Oauth,Google Openid,我正在使用谷歌的OpenID连接服务对用户进行身份验证。如果email\u verified字段为false，我会考虑拒绝所有帐户，但我没有看到现实世界中有人会在该字段设置为false的情况下攻击我的系统您第一次登录谷歌时，用户的帐户将被验证，因此，从我的第三方应用程序的角度来看，他们不会一直被验证吗？如果您从谷歌获得ID令牌，用户的电子邮件将始终被验证，并且该值将为true 在罕见的情况下，用户尚未验证其帐户的电子邮件地址并尝试使用OpenID Connect，他们将看到一条错误消息，通知他

我正在使用谷歌的OpenID连接服务对用户进行身份验证。如果

email\u verified

字段为false，我会考虑拒绝所有帐户，但我没有看到现实世界中有人会在该字段设置为false的情况下攻击我的系统

您第一次登录谷歌时，用户的帐户将被验证，因此，从我的第三方应用程序的角度来看，他们不会一直被验证吗？

如果您从谷歌获得ID令牌，用户的电子邮件将始终被验证，并且该值将为

true

在罕见的情况下，用户尚未验证其帐户的电子邮件地址并尝试使用OpenID Connect，他们将看到一条错误消息，通知他们需要验证其帐户，以及如何完成验证的步骤。这至少是谷歌OpenID Connect实现的当前行为

如果您依赖的是经过验证的电子邮件地址，那么出于正确性考虑，您可能应该拒绝没有

电子邮件\u verified=true

的登录，但好消息是，您的系统不应该从谷歌看到这种情况

不确定您是如何使用电子邮件的，但通常身份验证系统使用

sub

和

iss

ID令牌来唯一标识用户&IdP，而不是依赖可能更改的电子邮件地址。

我知道它很旧，但您能将我链接到提到它的文档吗？