网站是否可以允许用户通过多种不同的方法登录,例如 Facebook Connect、OpenID 等?
不是指同一用户同时登录,而是想知道是否可以有多个“SSO”选项。
例如,具有 OpenID 和 Facebook 凭据的用户使用单独的会话信息登录,并以某种方式“玩游戏”或欺骗“系统”,是否存在副作用?
这是只提供一个的主要原因吗?还有其他原因吗?
更新: 为了澄清一点,我应该说我们想使用 Facebook Connect,但并非我们所有的预期用户都有 Facebook 帐户。与 OpenID 等相同。我们确实需要将用户操作绑定到特定的本地“帐户”,这显然会与他们用来登录的任何身份验证提供者同步(或稍后再绑定,如SO),但希望提供尽可能多的便利。
也许我们应该在内部做?
我的计划是让每个 SSO 提供商都能够从 SSO 帐户映射到本地用户 ID。您可以将多个 SSO 帐户分配给一个本地帐户。所有这些都巧妙地隐藏在界面后面,可能使用了命令链模式。
您应该考虑使用RPX。他们为您处理所有这些,并允许使用 Facebook、OpenId、Windows Live Id 等。结果对您来说是透明的——您只需获得一个不透明的令牌来表示 ID。
我建议跟踪一个帐户的所有各种形式的身份验证。当然,只有在用户这样做的情况下才能这样做。但是这样看。没有什么可以阻止一个人在自定义身份验证系统上设置多个帐户并执行相同的“游戏”,就像选择使用各种类似 OpenID 的帐户来做同样的事情一样!将这些形式的身份验证与自定义的内部跟踪系统一起使用是一种很好的方法,并且不会真正呈现任何新的安全性复杂性,而仅使用内部登录系统则不会。它只是为您的用户增加了更多便利因素(以您需要更多编码为代价......但情况并非总是如此?(:P))。