2009-11-18 5 views
5

Scenario: Un utente accede a un sito (come StackOverflow) con un OpenID. Un anno dopo ritornano al sito ma il loro provider OpenID ha cessato l'attività e non gli consente di accedere.Cosa succede se l'utente non può accedere con il loro OpenID?

Quanto è meglio che si riprendano da questa situazione? E ci sono dei siti abilitati OpenID che conosci che hanno già implementato una soluzione per questo?

C'è un excellent article here about relying party best practices e hanno un buon suggerimento, ma io sono ancora alla ricerca di un esempio di questo in azione:

fornire funzionalità perduta Identifier per passare ad una nuova identificatore senza accesso al vecchio uno

Fornire un meccanismo per passare un account di utilizzare un nuovo identificatore senza accesso al vecchio identificatore (s) associato al account. Questo può assumere un modulo simile al tradizionale "Hai dimenticato la tua password ?" email verification dance, partendo dal presupposto che l'utente abbia l'indirizzo email dell'utente.

Razionale: Gli utenti saranno volte perdono la possibilità di utilizzare i propri identificatori, come quando loro fornitore cessa di erogazione di servizi a loro. Questa funzionalità consente agli utenti di recuperare da questa situazione senza perdere i loro dati.

Ho una vaga idea di come ottenerlo con un token che viene inviato all'indirizzo email dell'utente. Ma ancora, se qualcun altro ha già trovato una buona soluzione con dettagli che forse non avevo ancora pensato, sarebbe meglio.

+3

Dal momento che il provider OpenID è anche spesso il provider di posta elettronica, basandosi su e-mail potrebbe non riuscire una quantità sproporzionata di tempo. –

+0

Punto eccellente Punto. Da quanto ho osservato nel mio database, circa il 60% degli utenti che utilizzano Google come OpenID utilizza anche Gmail. Ma ... c'è anche una grande percentuale con MyOpenID, che ovviamente non fornisce email. L'idea di verifica dell'email non è perfetta, ma è ancora l'idea migliore a cui possa pensare. –

+0

Ho pensato un po 'più a questo, Mark. Hai ragione sul provider OpenID e il provider di posta elettronica è spesso lo stesso. Tuttavia, d'altra parte, i provider di posta elettronica non interrompono il servizio in genere lasciando i propri clienti al sicuro. In genere dispongono di un buon sistema per recuperare un accesso perso. Sono i provider OpenID di piccole dimensioni che mi preoccupo di più. –

risposta

2

Ho implementato la funzione di recupero dell'account a cui stavo pensando.Dopo aver lasciato sobbollire l'idea per un po ', penso di aver trovato un processo abbastanza semplice per l'utente che è ancora sicuro.

Ecco il processo:

  1. , clicca sul link "problemi" sotto i pulsanti OpenID.
  2. Digita il tuo indirizzo email e fai clic su "Invia email di recupero account".
  3. Aprire l'e-mail e fare clic sul collegamento. (Il link ha un token di accesso one-time nella querystring.)
  4. Avrai automaticamente accesso al mio sito (il token di accesso one-time sarà distrutto in modo che non possa essere riutilizzato) e ti viene richiesto di accedere con un OpenID secondario.

ho anche fatto un video che dimostra questo:

http://regexhero.net/blog/2010/01/using-openid-on-regex-hero.html

7

StackOverflow consente a più OpenID di essere associati a un account, quindi è possibile impostare un provider di backup.

Un'altra soluzione potrebbe essere quella di raccogliere l'indirizzo e-mail dell'utente e inviare un collegamento di ripristino a tale indirizzo di posta elettronica.

In definitiva, si avrà l'utente occasionale in qualsiasi sistema che non può essere gestito automaticamente. Anche senza OpenID, è facile per un utente perdere l'accesso alla propria e-mail e dimenticare la propria password, o dimenticare sia il proprio nome utente sia la password. A volte, l'unica soluzione è "devi registrarti di nuovo" o "il nostro servizio clienti ha concesso l'accesso a tale account".

+0

La cosa OpenID multipla è una buona idea (inclusa anche nel documento sulle migliori pratiche). E sto raccogliendo gli indirizzi email degli utenti in modo tale che la parte sia fatta. Suppongo che spero solo di trovare un esempio facile per l'utente mentre è al sicuro allo stesso tempo. –

+0

In definitiva la "porta di servizio di posta elettronica" dovrebbe essere chiusa. Se trovo la tua password e-mail, è un peccato che io possegga la tua identità su Internet come è oggi. OpenID multipli è una soluzione migliore, anche se non è nemmeno ideale. Penso che ci sia spazio per trovare una soluzione migliore. Ma non so di cosa si tratta. –

0

Una cosa che si potrebbe fare sarebbe quello di costruire anche il vostro sito per essere non solo un OpenID Consumer, ma un OpenID Provider . In questo modo se, per qualche ragione, un fornitore fallisce, puoi consentire ai tuoi membri di accedere semplicemente usando il tuo provider e consentire loro di recuperare il loro profilo in qualche modo. Mi piace come SO consente più ID, o forse solo avere una funzionalità di migrazione da un ID all'altro. Il tuo più grande problema sarà il fatto che il loro ID originale non può essere autenticato. Non sono sicuro che consentire l'utilizzo di più ID allevierà questo problema, ma potrebbe impedire tali situazioni se i tuoi utenti sono proattivi.

+0

Non si sbarazza dell'intero punto di OpenID - non avendo ciascun sito come proprio fornitore? – ceejayoz

+0

@ceejayoz sì, ma la preoccupazione è dovuta al fatto di avere un accesso centralizzato (singolo). L'unico modo per risolverlo è avere un altro login. – Joseph

+0

@ceejayoz Sto dicendo di usarlo come meccanismo di backup, non come principale. probabilmente non sarebbe nemmeno qualcosa che pubblicizzeresti sul tuo sito, solo per gli utenti che hanno problemi di accesso. – Joseph