Come gestire correttamente i diversi meccanismi di accesso utente?

Naviga le tue risposte
2

Mi chiedo se sia possibile gestire un meccanismo di accesso che dipende dall'identificatore dell'utente.

Ad esempio, l'utente può avere accesso usando OpenId, OAuth o token. Ma come possiamo "aiutare" l'utente a determinare quale meccanismo possono usare?

Per il momento il resto del mio team desidera esporre il meccanismo di autenticazione dopo che l'utente ha dato il nome utente per aiutare a scegliere il meccanismo di autenticazione corretto.

Per me, questa è una cattiva idea, perché qualcuno può indovinare la validità e ottenere informazioni su un utente senza inserire la password. Ma forse c'è un modo per farlo?

Un'opzione è usare l'e-mail come "cancello". L'utente deve fare clic su un link nella sua e-mail per ottenere il meccanismo di accesso corretto.

    
posta Mio 08.10.2018 - 16:27
fonte

1 risposta

0

Vorrei ascoltare i tuoi sviluppatori. L'intero punto della federazione delle identità consiste nel delegare l'autenticazione al sistema di gestione delle identità sottostante. Forse uno è un semplice accesso utente / password mentre un altro utilizza un'autenticazione a due fattori.

Inoltre, quali informazioni hai davvero bisogno di proteggere? Il fatto che [email protected] sia un account Gmail?

Se sei determinato a non dare nulla, non c'è niente che ti impedisca di forzare l'utente ad essere esplicito riguardo al loro dominio prima che forniscano il loro nome utente. È un approccio abbastanza comune.

per es.

  • Accedi con Google
  • Accedi con Facebook
  • Etc.
risposta data 04.12.2018 - 16:43
fonte

Leggi altre domande sui tag

Lo strumento di analisi del codice statico PHP che segue include (compatibile con framework) Un server SSH in esecuzione potrebbe in qualche modo ingannare il client SSH connesso per creare una porta inversa?