假设我有一个站点,例如 StackOverflow,它只支持 OpenID 登录。假设某人在网站上有一个帐户,绑定到他的 OpenID,然后他失去了对他的 OpenID 提供商的访问权限(这肯定是可能的,并且不比丢失您的电子邮件密码更难)。然后他将如何恢复对其帐户的访问权限?
我看到了两种选择:一种是通常的 mail-me-a-key 序列,只有在他提供了电子邮件地址的情况下才适用。
二是他本可以为此类紧急情况提供备用 OpenID(我认为这就是 SO 所做的)。
你(或者你会)如何使用 OpenID 实现访问恢复?有什么想法吗?
如果这很重要,我正在使用 RoR + Authlogic-openid。
我不会。我会依靠用户的 ID 提供者来处理这个问题。如果用户的提供者没有,那么用户下次应该选择一个新的提供者 :) 这听起来可能对用户不友好,但它只是将需求推给了提供者,这是 OpenID 理念的一部分。失去访问权限并不是提供商可以对用户做的最糟糕的事情,所以我觉得依靠提供商来妥善处理这种情况很舒服。
一种有用的方法是允许用户将第二个身份与他们的帐户相关联——失去对其中一个身份的访问权的用户可以使用另一个身份。然而,这必须由用户在失去访问权限之前完成。
这就是 StackOverflow 所做的 - 您可以在经过身份验证时添加其他身份,如果您注销并尝试重新登录,则不会为您提供非 OpenID 登录选项。