对于网站,我希望用户能够使用其唯一用户名或其电子邮件地址登录。允许使用电子邮件地址登录,同时允许具有相同电子邮件地址的多个用户
但是,本网站可能会允许多个用户帐户使用相同的电子邮件地址。 (例如,他们可能是同一个人,为两家不同的公司工作,等等。同样,由于商业原因,每个用户账户只与一家公司相关联,因此如果用户为多家公司工作,他们每个人都有一个登录一。)
这里有一些可能的方式,当用户使用一个电子邮件地址登录到处理这个问题:
如果一个以上的帐户相匹配的电子邮件地址和密码(散列当然)至少匹配密码与此地址的帐户之一,然后执行下列操作之一:
A.告诉他们的电子邮件地址与多个帐户相关联的用户,因此他们将需要登录在使用他们的用户名。
或
B.与A相同,但是,如果密码与帐号的密码只有一个,只是接受它,身份登录该帐户。
我想去B.但是,使用密码来区分两个帐户似乎可能有一些明显的安全缺陷(我可能忽略),甚至一些非明显的安全隐患。
这会是一个很好的解决方案,或者是有一个被广泛接受的“最佳实践”为这个?
如果B中含糊不清,它会回落到A. – kes