我正在使用Google的OpenID Connect Service来验证用户。如果email_verified字段是错误的,我正在考虑拒绝所有帐户,但是我看不到有人会以这个字段设置为False的现实世界中的情况。
您第一次登录Google时,用户的帐户得到了验证,因此不会从我的第三方应用的角度验证它们?
如果您从Google获得ID令牌,则将始终验证用户的电子邮件,并且此值将为true。
在极少数情况下,用户尚未验证其帐户的电子邮件地址并尝试使用OpenID Connect的尝试,他们会看到一条错误消息,通知他们需要验证其帐户,并采用如何完成该帐户的步骤。这是Google的OpenID Connect实现的当前行为。
如果您依靠经过验证的电子邮件地址,则出于正确性,您可能应该拒绝没有email_verified=true的登录,但是好消息是您的系统不应该从Google那里看到该案例。
不确定您是如何使用电子邮件的,但是通常身份验证系统使用sub和iss ID令牌声称唯一识别用户&IDP,而不是依靠需要更改的电子邮件地址。