Sto lavorando su un nuovo sito che utilizza l'identità di asp.net per registrare gli utenti. Sto facendo uso di indirizzi e-mail come nomi utente e l'indirizzo e-mail deve essere confermato prima che l'utente possa accedere.
Ho lavorato in base alle specifiche e alla nostra politica di gestione delle password dell'organizzazione. La combinazione del 2 mi permetterebbe di fornire vari messaggi dettagliati a un utente durante l'esecuzione di azioni correlate all'account, ad esempio:
- Quando si seleziona "Password dimenticata" per un nome utente non esistente, viene visualizzato il messaggio: Questo nome utente non esiste.
Ho pensato che la pratica migliore sarebbe non confermare o negare se l'indirizzo e-mail esiste. Per questo motivo voglio mostrare il messaggio di successo: "Le istruzioni su come procedere sono state inviate all'indirizzo email fornito" anche se l'utente fornito non esiste.
Applicare questo principio ad altre azioni correlate all'account è un po 'complicato, però. Per esempio; in base alle specifiche quando si seleziona Invia nuovamente l'e-mail di conferma per un account già confermato, dovrei mostrare il messaggio: "Questo account è già attivato". Questo proprio lì mostra qualsiasi altro utente anonimo che l'account esiste. Ora, se mostro il messaggio di successo, l'utente potrebbe sedersi e attendere l'email, il che significa che dovrei effettivamente mandargli una email. Se questa e-mail dovesse essere la normale e-mail di attivazione, o una che indichi: "Il tuo account è già attivato. Apri il sito ed esegui l'accesso."
Un altro problema riguarda la registrazione. Se mostro un messaggio generico di "tentativo di registrazione non valido" durante la registrazione con un account esistente, il mio service desk potrebbe essere inondato di chiamate da utenti arrabbiati. (OK, probabilmente non allagato, ma dopo il primo il service desk scopre che l'utente li ha contattati a causa di un messaggio di errore generico per un problema specifico e identificato, mi chiederanno, o qualsiasi sviluppatore, di modificare il messaggio di errore per mostrare l'utente qual è il problema) Ancora una volta, però, se mostro all'utente un messaggio che indica che l'account esiste già, allora siamo tornati dove abbiamo iniziato.
Inoltre, quando un utente si registra 5 volte in modo errato, devo bloccare il suo account. Se gli dico che il suo account è bloccato, questo è un altro mezzo con cui un individuo anonimo può confermare se il nome utente esiste o meno.
Ho cercato un po 'di letteratura online con le linee guida relative a queste interazioni, ma non ho trovato molto.