
<p>I had this typed out last night but forgot to hit post</p>

<hr>

<blockquote>

<p>What I forgot to mention is that e-mail addresses from passport.maps.me are considered verified</p>

</blockquote>

<p>After reviewing the discussion here, <g-emoji alias="-1" fallback-src="https://assets-cdn.github.com/images/icons/emoji/unicode/1f44e.png" ios-version="6.0">👎</g-emoji> to this, and we probably need to review what we're doing for other providers. I'd be comfortable skipping verification for Google for gmail emails because Google is the email provider there. In a case like this, or Google with a non-gmail email, I'm not comfortable with it and think we need to verify.</p>

<p>Most of the discussion so far has been about emails, but we need to be sure that we're satisfied that adding them is a good idea. In particular, we should check that</p>

<ul class="contains-task-list">

<li class="task-list-item"><input type="checkbox" class="task-list-item-checkbox" disabled=""> we want to add them as a provider</li>

<li class="task-list-item"><input type="checkbox" class="task-list-item-checkbox" disabled=""> the alternate authorization workflow with the access token is sane</li>

<li class="task-list-item"><input type="checkbox" class="task-list-item-checkbox" disabled=""> their usage policy allows us to use them as an an authentication service</li>

</ul>

<p>What else needs deciding?</p>

<p>I think this would be the first authentication service that is not a general-purpose identity provider.</p>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-284514375">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLYJvhmFI7ahoiE0suiKYRk5KndBaks5rjGX3gaJpZM4L8Kyb">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLdp5eQIv9_i9ATypjoSdVcZMAevTks5rjGX3gaJpZM4L8Kyb.gif" width="1" /></p>

<div itemscope itemtype="http://schema.org/EmailMessage">

<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">

  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-284514375"></link>

  <meta itemprop="name" content="View Pull Request"></meta>

</div>

<meta itemprop="description" content="View this Pull Request on GitHub"></meta>

</div>


<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@pnorman in #1433: I had this typed out last night but forgot to hit post\r\n\r\n-----\r\n\r\n\u003e What I forgot to mention is that e-mail addresses from passport.maps.me are considered verified\r\n\r\nAfter reviewing the discussion here, 👎 to this, and we probably need to review what we're doing for other providers. I'd be comfortable skipping verification for Google for gmail emails because Google is the email provider there. In a case like this, or Google with a non-gmail email, I'm not comfortable with it and think we need to verify.\r\n\r\nMost of the discussion so far has been about emails, but we need to be sure that we're satisfied that adding them is a good idea. In particular, we should check that\r\n\r\n- [ ] we want to add them as a provider\r\n- [ ] the alternate authorization workflow with the access token is sane\r\n- [ ] their usage policy allows us to use them as an an authentication service\r\n\r\nWhat else needs deciding?\r\n\r\nI think this would be the first authentication service that is not a general-purpose identity provider."}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-284514375"}}}</script>