Scenario: Un utente accede a un sito (come StackOverflow) con un OpenID. Un anno dopo ritornano al sito ma il loro provider OpenID ha cessato l'attività e non gli consente di accedere.Cosa succede se l'utente non può accedere con il loro OpenID?
Quanto è meglio che si riprendano da questa situazione? E ci sono dei siti abilitati OpenID che conosci che hanno già implementato una soluzione per questo?
C'è un excellent article here about relying party best practices e hanno un buon suggerimento, ma io sono ancora alla ricerca di un esempio di questo in azione:
fornire funzionalità perduta Identifier per passare ad una nuova identificatore senza accesso al vecchio uno
Fornire un meccanismo per passare un account di utilizzare un nuovo identificatore senza accesso al vecchio identificatore (s) associato al account. Questo può assumere un modulo simile al tradizionale "Hai dimenticato la tua password ?" email verification dance, partendo dal presupposto che l'utente abbia l'indirizzo email dell'utente.
Razionale: Gli utenti saranno volte perdono la possibilità di utilizzare i propri identificatori, come quando loro fornitore cessa di erogazione di servizi a loro. Questa funzionalità consente agli utenti di recuperare da questa situazione senza perdere i loro dati.
Ho una vaga idea di come ottenerlo con un token che viene inviato all'indirizzo email dell'utente. Ma ancora, se qualcun altro ha già trovato una buona soluzione con dettagli che forse non avevo ancora pensato, sarebbe meglio.
Dal momento che il provider OpenID è anche spesso il provider di posta elettronica, basandosi su e-mail potrebbe non riuscire una quantità sproporzionata di tempo. –
Punto eccellente Punto. Da quanto ho osservato nel mio database, circa il 60% degli utenti che utilizzano Google come OpenID utilizza anche Gmail. Ma ... c'è anche una grande percentuale con MyOpenID, che ovviamente non fornisce email. L'idea di verifica dell'email non è perfetta, ma è ancora l'idea migliore a cui possa pensare. –
Ho pensato un po 'più a questo, Mark. Hai ragione sul provider OpenID e il provider di posta elettronica è spesso lo stesso. Tuttavia, d'altra parte, i provider di posta elettronica non interrompono il servizio in genere lasciando i propri clienti al sicuro. In genere dispongono di un buon sistema per recuperare un accesso perso. Sono i provider OpenID di piccole dimensioni che mi preoccupo di più. –