代码之家  ›  专栏  ›  技术社区  ›  Leonid Shevtsov

如果站点只支持OpenID登录,则访问恢复机制

  •  2
  • Leonid Shevtsov  · 技术社区  · 16 年前

    假设我有一个站点,比如StackOverflow,它只支持OpenID登录。假设有人在该站点上有一个绑定到他的OpenID的帐户,然后他就失去了访问他的OpenID提供者的权限(这当然是可能的,而且不比丢失您的电子邮件密码更困难)。然后他将如何恢复对他的帐户的访问?

    我看到了两个选项:一个是通常的邮件-我-钥匙顺序,只有当他提供了一个电子邮件地址时才合适。

    第二,他本可以为这种紧急情况提供一个备份OpenID(我想也是这样)。

    您(或您)如何使用OpenID实现访问恢复?有什么想法吗?

    我正在使用ror+authlogic openid,如果这很重要的话。

    1 回复  |  直到 16 年前
        1
  •  0
  •   Karl Anderson    16 年前

    我不会。我会依靠用户的ID提供者来处理这个问题。如果用户的提供者不这样做,那么,用户下次应该选择一个新的提供者:)这听起来可能对用户不友好,但它只是将需求推给提供者,这是OpenID理念的一部分。失去访问权并不是提供商能对用户做的最糟糕的事情,因此我觉得依靠提供商来正确处理这种情况是很舒服的。

    一种有用的方法是允许用户将第二个身份与他们的帐户关联起来——失去一个身份访问权的用户可以使用另一个身份。这必须由用户完成, 之前 然而,访问被丢失。

    StackOverflow就是这样做的-您可以在认证时添加其他标识,如果您注销并尝试重新登录,则不会提供非OpenID登录选项。