[大概是一个好主意,但是在通过OAuth对用户进行身份验证并从提供商获取一些用户信息之后,有一种方法可以向第三方证明此用户已经过身份验证,并且使用令牌检索了这条信息(电子邮件地址)确实是该提供商提供的数据?当然,不共享访问令牌。
如果对此有所帮助,请在这里对Google和Facebook最初感兴趣。
一般的标准方法是使用OAuth2 Introspection。
并非所有人都支持这一点(我不知道您的3家提供商中的任何一家都支持)。一个好的回退可能是仅发出一个请求,看看是否成功。