Интересует как грамотно и безопасно прикручивать альтернативы паролю - «зайти через гугель», «зайти через фэйсбук» и т.п.
1. Критично ли требовать одинаковость email на всех провайдерах
2. Надо ли делать первый email «не сменяемым»
3. Как корректно менять email (требовать ли подтверждения обоих адресов и т.п.)
Хотелось бы избежать ситуаций, когда отвлекся от компьютера, а кто-то в это время прикрепил свой вконтактик, открепил старую запись и увел таким образом логин. Ну и прочей фигни подобного рода.
Можете подсказать хорошие статьи, как грамотно приворачивать внешних провайдеров аутентификации? На ходу сочинять не надо, интересует реальный опыт.