¿Cómo lidiar adecuadamente con los diferentes mecanismos de inicio de sesión orientados al usuario?

2

Me pregunto si es posible tratar con un mecanismo de inicio de sesión que depende del identificador de usuario.

Por ejemplo, el usuario puede tener acceso mediante OpenId, OAuth o token. Pero, ¿cómo podemos "ayudar" al usuario a determinar qué mecanismo pueden utilizar?

Por el momento, el resto de mi equipo desea exponer el mecanismo de autenticación después de que el usuario proporcione el nombre de usuario para ayudarlo a elegir el mecanismo de autenticación correcto.

Para mí, esto es una mala idea, porque alguien puede adivinar la validez y obtener información sobre un usuario sin ingresar la contraseña. Pero tal vez hay una manera de hacerlo?

Una opción es usar el correo electrónico como "puerta". El usuario debe hacer clic en un enlace en su correo electrónico para obtener el mecanismo de inicio de sesión adecuado.

    
pregunta Mio 08.10.2018 - 16:27
fuente

1 respuesta

0

Escucharía a tus desarrolladores. El punto central de la federación de identidades es que usted delegue la autenticación en el sistema de administración de identidades subyacente. Tal vez uno es un nombre de usuario / contraseña simple, mientras que otro usa autenticación de dos factores.

Además, ¿qué información realmente necesitas proteger? ¿El hecho de que [email protected] sea una cuenta de gmail?

Si estás decidido a no regalar nada, no hay nada que te impida obligar al usuario a ser explícito sobre su dominio antes de proporcionar su nombre de usuario. Ese es un enfoque bastante común.

Por ejemplo,

  • Inicia sesión con Google
  • Inicia sesión con Facebook
  • Etc.
respondido por el Andy N 04.12.2018 - 16:43
fuente

Lea otras preguntas en las etiquetas