Cosa succede se l'utente non può accedere con il loro OpenID?

Question

Scenario: Un utente accede a un sito (come StackOverflow) con un OpenID. Un anno dopo ritornano al sito ma il loro provider OpenID ha cessato l'attività e non gli consente di accedere.

Quanto è meglio che si riprendano da questa situazione? E ci sono dei siti abilitati OpenID che conosci che hanno già implementato una soluzione per questo?

C'è un excellent article here about relying party best practices e hanno un buon suggerimento, ma io sono ancora alla ricerca di un esempio di questo in azione:

fornire funzionalità perduta Identifier per passare ad una nuova identificatore senza accesso al vecchio uno

Fornire un meccanismo per passare un account di utilizzare un nuovo identificatore senza accesso al vecchio identificatore (s) associato al account. Questo può assumere un modulo simile al tradizionale "Hai dimenticato la tua password ?" email verification dance, partendo dal presupposto che l'utente abbia l'indirizzo email dell'utente.

Razionale: Gli utenti saranno volte perdono la possibilità di utilizzare i propri identificatori, come quando loro fornitore cessa di erogazione di servizi a loro. Questa funzionalità consente agli utenti di recuperare da questa situazione senza perdere i loro dati.

Ho una vaga idea di come ottenerlo con un token che viene inviato all'indirizzo email dell'utente. Ma ancora, se qualcun altro ha già trovato una buona soluzione con dettagli che forse non avevo ancora pensato, sarebbe meglio.

Answer 1

Ho implementato la funzione di recupero dell'account a cui stavo pensando.Dopo aver lasciato sobbollire l'idea per un po ', penso di aver trovato un processo abbastanza semplice per l'utente che è ancora sicuro.

Ecco il processo:

1. , clicca sul link "problemi" sotto i pulsanti OpenID.
2. Digita il tuo indirizzo email e fai clic su "Invia email di recupero account".
3. Aprire l'e-mail e fare clic sul collegamento. (Il link ha un token di accesso one-time nella querystring.)
4. Avrai automaticamente accesso al mio sito (il token di accesso one-time sarà distrutto in modo che non possa essere riutilizzato) e ti viene richiesto di accedere con un OpenID secondario.

ho anche fatto un video che dimostra questo:

http://regexhero.net/blog/2010/01/using-openid-on-regex-hero.html

Answer 2

StackOverflow consente a più OpenID di essere associati a un account, quindi è possibile impostare un provider di backup.

Un'altra soluzione potrebbe essere quella di raccogliere l'indirizzo e-mail dell'utente e inviare un collegamento di ripristino a tale indirizzo di posta elettronica.

In definitiva, si avrà l'utente occasionale in qualsiasi sistema che non può essere gestito automaticamente. Anche senza OpenID, è facile per un utente perdere l'accesso alla propria e-mail e dimenticare la propria password, o dimenticare sia il proprio nome utente sia la password. A volte, l'unica soluzione è "devi registrarti di nuovo" o "il nostro servizio clienti ha concesso l'accesso a tale account".

Answer 3

Una cosa che si potrebbe fare sarebbe quello di costruire anche il vostro sito per essere non solo un OpenID Consumer, ma un OpenID Provider . In questo modo se, per qualche ragione, un fornitore fallisce, puoi consentire ai tuoi membri di accedere semplicemente usando il tuo provider e consentire loro di recuperare il loro profilo in qualche modo. Mi piace come SO consente più ID, o forse solo avere una funzionalità di migrazione da un ID all'altro. Il tuo più grande problema sarà il fatto che il loro ID originale non può essere autenticato. Non sono sicuro che consentire l'utilizzo di più ID allevierà questo problema, ma potrebbe impedire tali situazioni se i tuoi utenti sono proattivi.