Логин через google, facebook,... как секурно продаваться в рабство?

когда отвлекся от компьютера, а кто-то в это время прикрепил свой вконтактик, открепил старую запись и увел таким образом логин

По отпечаткам пальцев, в присутствии адвоката

Я сделал «накопление» социальных логинов, объединяются по e-mail, пока хранятся вечно.

Этого не достаточно. Меня интересуют остальные нюансы. Что делать если юзеру надо сменить email и т.п.

Что делать если юзеру надо сменить email и т.п.

Так эти все входы через 3-rd party провайдеров как раз делаются, для того, чтобы юзеру не нужно было ничего менять. Нажал кнопку логин через что-то там и вперед, его профиль ты уже его у себя не хранишь, или получаешь каки-е-то данные от 3-rd party провайдера, через которого произошла аутентификация, но тут все зависит от провайдера, и какие данные сам пользователь разрешил о себе открыть, в случае, если это социальная сеть. Но в банальном случае, такие входы ставятся просто чтобы избавить пользователя от ввода капчи и заполнения, а тебя от проверки email и т.д. Проще говоря даже не всегда обязательно различать пользователей, иногда просто даже достаточно давать уникальный authentication header и перекидывать в нужный путь после того, как человек прошел OAuth успешно (или что там 3-rd party провайдер накостылял).

Так эти все входы через 3-rd party провайдеров как раз делаются, для того, чтобы юзеру не нужно было ничего менять.

Ты, похоже, так и не понял вопроса. Суть в том, что, к примеру, если у пользователя есть аккаунт в социальной сети и в гугле, он оба эти аккаунта использует, чтобы авторизовываться на твоем сайте. Но в какой-то момент он теряет мобилку и у него уводят аккаунт с социальной сети, авторизуются у тебя на сайте, добавляют для авторизации совсем другой аккаунт (злоумышленника) в другой сети, а затем «открепляют» все остальные аккаунты. В результате, пользователь, когда вернет симку и купит мобилку, скорее всего вернет свой аккаунт в социальной сети (а гугловый так вообще и не терялся), но авторизоваться на твоем сайте с их помощью уже не сможет, т.к. там теперь только авторизация через аккаунт злоумышленника.

Вопрос, как избежать такого сценария.

«У пользователя увели e-mail, поменяли пароль, теперь пользоваться сайтом он не сможет, как избежать такого сценария?»

Ответ — предусмотреть и гарантированно защитить чисто средствами авторизации нельзя. Аккаунты уводили, уводят и будут уводить.

Или на админский аккаунт кто-нибудь прилепит свой фейсбук и будет периодически заглядывать в гости от имени админа.

Вариантов много, но суть та же.

Не знаю, тогда но обычно есть лимиты на привязку номера. Т.е. ты номер уже к другому аккаунту не привяжешь, ну и не все социальные сети работают только по номеру телефона. Т.е. тут опять же все зависит скорей от 3rd party сервиса, черех который будет логиниться. Если сервис позволяет как-то завладеть аккаунтом, только лишь имею доступ к одному телефону, то это сервис не безопасен by design.

Как вариант спрашивать пароль от учетки при привязке, но тут уже получается, что так и так нужна чистая учетка, т.е. вариант «зайти через вк без регистрации» отпадает.

удобно = 1/безопасно

Банально же. При привязке аккаунта от провайдера, уведомляем об этом пользователя всеми возможными способами - от показа нотификейшена в лк, до извещений на те аккаунты, что уже привязанай (почта, другие аккаунты у провайдеров). При этом отвязанный аккаунт можно еще считать какое-то время валидным.

Типикал пример. Если вдруг, у тебя украли симку (допустим не украли, а временно увели. то есть в теории ты симку потом восстановишь или она у тебя и не пропадала никуда), и к твоему номеру привязали какой-то аккаунт в соц сети - то на твоем аккаунте высветиться об этом месседж, при этом номер остается валидным логином и для той страницы к которой был привязан прежде.