Per evitare conflitti di posta elettronica per il sistema di autenticazione, possiamo sicuramente scegliere la combinazione di email e password come identificatore univoco.
Che cosa può impedirmi di costruire un sistema di autenticazione trattando l'identificatore univoco come combinazione di e-mail e password? Cosa c'è di sbagliato in questo design?
Il problema immediato qui è che la password di un utente può, e dovrebbe cambiare di tanto in tanto. Legando il tuo ID univoco alla password, stai effettivamente creando un nuovo account utente ogni volta che un utente cambia la sua password.
Se possibile, l'identificatore univoco dovrebbe essere qualcosa che mai cambia. Se si dispone di una sorta di ID set-in-stone come un ID dipendente o numero di sicurezza sociale / ID, utilizzare quello. In caso contrario, è necessario creare un identificativo univoco nel database e utilizzarlo come riferimento. Le password, così come gli indirizzi email e i nomi, potrebbero cambiare.
Un secondo problema qui, come notato nei commenti, è che la password di un utente dovrebbe mai essere memorizzata in testo normale. Dovresti digitare la password e archiviare solo quell'hash. Meglio ancora, qualunque framework di sicurezza tu usi dovrebbe farlo per te.
Leggi altre domande sui tag authentication login