Django-allauth: 将多个社交账号链接到单个用户

如果用户已经登录，我已经成功地使用标签provider_login_url并设置属性process =“connect”来连接另一个帐户。 下面是要在“已验证用户”块中显示的代码片段：

{% load socialaccount %}
<p><a href="{% provider_login_url "facebook" process="connect" %}">Connect a facebook account</a></p>
<p><a href="{% provider_login_url "google" process="connect" %}">Connect a Google account</a></p>

设置 SOCIALACCOUNT_QUERY_EMAIL=True，并确保在您的提供商范围内请求电子邮件：

SOCIALACCOUNT_PROVIDERS = \
    {'facebook':
         {'SCOPE': ['email', ],
          'AUTH_PARAMS': {'auth_type': 'reauthenticate'},
          'METHOD': 'oauth2',
          'LOCALE_FUNC': lambda request: 'pt_BR'},
     'google':
         {'SCOPE': ['https://www.googleapis.com/auth/userinfo.profile',
                    'email'],
          'AUTH_PARAMS': {'access_type': 'online'}
         },
}

我还想知道是否可能使用电子邮件地址自动关联一个帐户。我可以在socialaccount_socialaccount表的“extra_data”列中看到，Google和Facebook都发送了 "verified_email": true。对于我来说，自动关联登录信息将会是足够的，并且可以大大提高可用性。

当然可以有一种方法来避免让用户承担责任，比如使用电子邮件地址？但是要非常小心这样做。如果你没有让用户承担责任就自动链接具有相同电子邮件地址的账户，那么会引入以下攻击向量： - 找到您网站上的用户，找出他们的电子邮件地址（通常很容易） - 在其中一个您的提供商处使用我的电子邮件创建账户 - 验证电子邮件，添加他们的电子邮件，删除我的电子邮件（只需要一个您的提供商不执行完整的角落案例即可打开此漏洞） - 使用我的新松弛提供商帐户"注册"您的服务 - 获得与初始用户自动匹配的权限，访问他们的账户
您可以采取措施降低此风险，但即使现在所有提供商都需要电子邮件确认，第三方团队中的任何疏忽也会在您的安全性中打开此漏洞。也许对于您正在做的事情而言，这种风险是值得的，但请小心。对用户施加一些责任可能并不是最糟糕的事情。 我见过一些流程，它建议进行自动匹配，然后要求您输入密码或重新使用原始提供商进行身份验证，以将新账户添加到您的原始账户中。这些流程不会有相同的潜在利用风险，但有一些脑部-xx级别的角落案例和UI复杂性。