Come gestire correttamente i diversi meccanismi di accesso utente?

2

Mi chiedo se sia possibile gestire un meccanismo di accesso che dipende dall'identificatore dell'utente.

Ad esempio, l'utente può avere accesso usando OpenId, OAuth o token. Ma come possiamo "aiutare" l'utente a determinare quale meccanismo possono usare?

Per il momento il resto del mio team desidera esporre il meccanismo di autenticazione dopo che l'utente ha dato il nome utente per aiutare a scegliere il meccanismo di autenticazione corretto.

Per me, questa è una cattiva idea, perché qualcuno può indovinare la validità e ottenere informazioni su un utente senza inserire la password. Ma forse c'è un modo per farlo?

Un'opzione è usare l'e-mail come "cancello". L'utente deve fare clic su un link nella sua e-mail per ottenere il meccanismo di accesso corretto.

    
posta Mio 08.10.2018 - 16:27
fonte

1 risposta

0

Vorrei ascoltare i tuoi sviluppatori. L'intero punto della federazione delle identità consiste nel delegare l'autenticazione al sistema di gestione delle identità sottostante. Forse uno è un semplice accesso utente / password mentre un altro utilizza un'autenticazione a due fattori.

Inoltre, quali informazioni hai davvero bisogno di proteggere? Il fatto che [email protected] sia un account Gmail?

Se sei determinato a non dare nulla, non c'è niente che ti impedisca di forzare l'utente ad essere esplicito riguardo al loro dominio prima che forniscano il loro nome utente. È un approccio abbastanza comune.

per es.

  • Accedi con Google
  • Accedi con Facebook
  • Etc.
risposta data 04.12.2018 - 16:43
fonte

Leggi altre domande sui tag