在构建 Google+ 导入器时,我们决定将主电子邮件地址设置为 :googleid@gplus.invalid,当用户通过 Google 认证登录时,系统会将其电子邮件地址更新为通过 Google 认证获取的地址。
然而,我偶然发现一位活跃用户已成功通过 Google 认证,其 Gmail 地址在“关联账户”中显示为“google_oauth2 (实际电子邮件地址)",但主邮箱地址仍为 @gplus.invalid。
编辑:我发现该用户曾使用同一电子邮件地址单独注册过账号,因此该地址已被作为独立用户占用。因此,这不太可能是一个漏洞。