OpenID consente di modificare l'indirizzo e-mail?

Naviga le tue risposte
1

Ho il compito di progettare un fornitore OpenID per le applicazioni pubbliche della mia azienda.

L'idea è di autorizzare l'utente tramite una combinazione email / PW. L'oggetto sarà un GUID.

Se un utente può modificare il suo indirizzo email (utilizzato per il login) o dovrebbe esserci un indirizzo email di contatto modificabile.

    
posta TheJoeIaut 08.09.2016 - 13:04
fonte

1 risposta

2

Che cosa dicono i requisiti? Questa è l'unica fonte autorevole in questo caso, quindi fai riferimento ai requisiti.

Se stai ponendo la domanda perché in realtà stai elaborando i requisiti, prendi in considerazione che:

  • Le persone cambiano occasionalmente gli indirizzi e-mail. O perché cambiano il provider o perché il loro vecchio indirizzo riceve troppo spam o perché non gradiscono più il loro vecchio indirizzo e-mail. Qualunque cosa. Impedire a una persona di modificare l'e-mail sul tuo sito web potrebbe comportare che questa persona non sia più in grado di utilizzare il sito.

  • Cambiare l'indirizzo e-mail originariamente utilizzato per la registrazione non è un compito banale. Per gli usi validi di x di questa attività, avrai y tentativi di pirateria (un utente malintenzionato ha avuto accesso all'account della persona e passa all'indirizzo di posta elettronica dell'aggressore) . Spetta a te proteggere i tuoi utenti da questi attacchi.

    Questo è molto più difficile di quanto sembri. Uno dei problemi è che una persona legittima che ha bisogno di cambiare il proprio indirizzo e-mail sul proprio sito Web potrebbe a volte non avere accesso all'account e-mail originale, quindi inviare una e-mail con un link di convalida non è un'opzione qui.

  • L'implementazione di alla vecchia maniera - l'invio della persona per l'invio di una lettera o il supporto per le chiamate - potrebbe essere più facile da implementare. Tuttavia, è necessario chiedersi come sia possibile confermare l'identità di una persona attraverso una telefonata.

  • Quando l'e-mail viene cambiata, potresti essere legalmente obbligato a mantenere gli indirizzi e-mail precedenti.

The idea is to authorize the user via an Email/PW combination.

E l'autenticazione a due fattori?

Seriamente, chiediti se davvero, davvero hai bisogno di creare il tuo provider OpenID da zero. Se hai 10k di reputazione su InformationSecurity.SE e hai un'esperienza professionale nei sistemi di autenticazione / registrazione, per favore, fallo. Altrimenti, stai mettendo i tuoi utenti e la tua azienda a rischio di pirateria .

    
risposta data 08.09.2016 - 14:14
fonte

Leggi altre domande sui tag

Se Microservice utilizza ancora framework Web come Spring Come mostrare diverse piattaforme su una mappa di storie utente?