1
这是一个理论问题。多重身份+单点登录安全
假设我有一个Twitter,Facebook,G +,Instagram帐户,所有电子邮件地址[email protected],现在我想设计一个Web应用程序,允许用户使用他们的Twitter,Facebook,G +,Instagram帐户登录应用程序或以标准注册表格。
我的用户的唯一标识符是他们的电子邮件地址。
现在假设我已经有一个账户注册了电子邮件[email protected]我该如何设计让我连接我的Twitter,Facebook,G +,Instagram账户的机制?
方法1
要求用户先登录,然后连接到他们的其他账户。
临:
- 安全
缺点:
- 可以是一个痛苦,如果用户忘记他们的用户名和密码?
方法2
假设第三方OAuth提供商确认电子邮件,只需第三方帐户现有帐户(在我的应用程序)由第三方提供的现有电子邮件相关联。
临:
- 方便,简单
缺点:
- 安全?
问题
我怎样才能确保[email protected]从Facebook是从G +相同[email protected]? 还是没有简单/用户友好的方式来做到这一点?