Mam pytanie z natury porady tzn. zrobiłem aplikacje gdzie użytkownicy logują się za pomocą danych z bazy ale zrobiłem również logowanie za pomocą konta FB i rozwiązania OAuth2. W dużym skrócie logowanie kontem społecznościowym zwraca tokena oraz adres e-mail użytkownika, następnie ten adres e-mail jest sprawdzany w bazie danych, jak występuje to system nie sprawdza już hasła tylko wpuszcza usera. Czy tak to powinno być zrobione?

Twoje podejście wydaje się być w porządku, o ile spełnione są odpowiednie wymagania bezpieczeństwa i użytkownicy są świadomi sposobu działania systemu logowania. Ważne jest także, abyś regularnie przeglądał i aktualizował swoje mechanizmy logowania w miarę postępującego rozwoju aplikacji i zmieniających się potrzeb użytkowników.