訪問恢復機制，如果網站只支持OpenID登錄

Question

說我有一個網站，如StackOverflow，它只支持OpenID登錄。假設某人在網站上有一個帳戶，綁定到他的OpenID，然後他失去了訪問他的OpenID提供者（這肯定是可能的，並不比丟失你的電子郵件密碼更難）。他將如何恢復他的賬戶訪問權限？

我看到兩個選項：一個是通常的郵件我一鍵順序，只有當他提供了一個電子郵件地址時才適用。

二是他可以爲這種緊急情況提供備份OpenID（這就是我所假設的）。

您（或您）將如何使用OpenID實施訪問恢復？有什麼想法嗎？

我正在使用RoR + Authlogic-openid，如果這很重要。

Answer 1

我不會。我會依靠用戶的ID提供者來處理這個問題。如果用戶的提供者沒有，那麼用戶下次應該選擇一個新的提供者:)這可能聽起來對用戶不友好，但它只是將需求推給提供者，這是OpenID哲學的一部分。失去訪問並不是提供商可以對用戶做的最糟糕的事情，所以我很樂意依靠提供商正確處理這種情況。

有用的一種方法是允許用戶將第二個身份與其賬戶相關聯 - 失去訪問權限的用戶可以使用另一個身份。但是，在訪問失敗之前，必須由用戶完成。

這就是StackOverflow所做的 - 您可以在認證時添加其他身份，如果您註銷並嘗試重新登錄，則不會提供非OpenID登錄選項。