il login attraverso il social effettua "solo" un autenticazione. Il social ti da conferma dell'autenticazione avvenuta presso la sua piattaforma e ti da un codice per interrogare le api e verificarne (limitatamente ai permessi) i dati che l'utente condivide su quella piattaforma. Il tutto attraverso un protocollo di interscambio dati molto sicuro. tutto qua.

Sta a te decidere cosa farne di quei dati. Vuoi profilare l'utente? salvalo in una tabella, devi autorizzarlo (cosa diversa dall'autenticarlo) verificandone il ruolo? allora devi memorizzarlo nel tuo db. Come? questo dipende da te: c'è chi preferisce usare la tabella utenti, lasciando l'hash della password a null e impostando un flag tipo isSocial. C'è chi prefersisce salvare l'utente in un altra tabella, c'è chi non lo salva proprio perche non ha bisogno di autorizzarlo o di profilarlo per cui crea semplicemente il cookie di autenticazione (come farebbe a seguito di un login andato a buon fine) e via.