Ho creato un'applicazione che richiede agli utenti di autenticarsi con uno o più account di social media da Facebook, Twitter o LinkedIn.
Modifica Una volta che l'utente ha effettuato l'accesso, nel sistema viene mantenuta una 'identità', a cui è associato tutto il contenuto creato. Un utente può associare un account da ciascuno dei provider supportati con questa identità.
Sono preoccupato di come proteggere i potenziali utenti dal connettere l'account sbagliato alla loro identità nella nostra applicazione.
/ Modifica
Ci sono due scenari principali che potrebbero accadere:
-
L'utente ha più account su uno dei tre provider e non ha effettuato l'accesso a quello che desidera.
-
L'utente arriva a un computer pubblico o condiviso, in cui l'utente precedente si è lasciato loggato in uno dei tre provider.
Anche se non ho riscontrato molti esempi di questo fatto, sto considerando di richiedere agli utenti di autenticare le password con Facebook, Twitter e LinkedIn ogni volta che accedono alla nostra applicazione.
È un approccio ragionevole, o ci sono ragioni per cui molti altri siti e applicazioni non sfidano gli utenti a fornire un nome utente e una password quando autorizzano le applicazioni ad accedere ai loro account sui social media?
Grazie in anticipo!
Modifica
Un chiarimento, non ho intenzione di memorizzare il nome utente e la password di nessuno. Piuttosto, quando un utente fa clic sul pulsante per accedere, con Facebook come esempio, sto considerando di mostrare "Sei tu?" digita finestra.
L'idea è che un utente risponda alla sfida accedendo a Facebook sull'account recuperato dall'hash di oauth, o accedendo all'account corretto e la richiamata di oauth venga eseguita con i nuovi dati di hash oauth.