场景: 用户使用OpenID登录到站点(如StackOverflow)。一年后,他们回到网站,但他们的OpenID提供商已经停业,不会让他们登录。如果用户无法使用其OpenID登录,该怎么办?
他们如何从这种情况中恢复过来?是否有任何OpenID功能的网站你知道已经实施了这个解决方案?
有一个excellent article here about relying party best practices,他们有一个很好的建议,但我仍然在寻找行动的这个例子:
提供丢失的标识符的功能切换到新的 标识符,而无需访问旧 一个
提供一种机制来切换 帐户使用一个新的标识符 而不访问与0123相关联的旧 标识符(S)帐户。这可以采取与传统的“忘记密码 ”类似的形式 ?电子邮件验证舞蹈, 假设您有文件的用户的 电子邮件地址。
理由:用户有时会失去 使用它们的标识符的能力, 比如当他们的供应商不再提供 服务给他们。这个 功能允许用户从这种情况下恢复 而不会丢失他们的数据 。
我对如何使用发送到用户的电子邮件地址的令牌来完成此操作有一些模糊的想法。但是,如果其他人已经想出了一个好的解决方案,我可能还没有想过,那就更好了。
由于OpenID提供商往往也是电子邮件提供商,依靠电子邮件可能会失败的时间不成比例。 – 2009-11-19 19:17:18
优秀点标记。从我在自己的数据库中观察到的情况来看,大约60%的使用Google作为OpenID的用户也使用gmail。但是......在MyOpenID中也有很大比例,当然这不会提供电子邮件。电子邮件验证理念并不完美,但它仍然是我能想到的最好的想法。 – 2009-11-19 19:48:08
我给了你更多的想法,马克。你对OpenID提供商和电子邮件提供商的看法是一致的。但是,另一方面,电子邮件服务提供商通常不会完全停止服务,从而使其客户高度干燥。他们通常有一个很好的系统来恢复丢失的登录信息。这是我担心的小型OpenID提供商。 – 2009-11-20 19:10:58