1
這是一個理論問題。多重身份+單點登錄安全
假設我有一個Twitter,Facebook,G +,Instagram帳戶,所有電子郵件地址[email protected],現在我想設計一個Web應用程序,允許用戶使用他們的Twitter,Facebook,G +,Instagram帳戶登錄應用程序或以標準註冊表格。
我的用戶的唯一標識符是他們的電子郵件地址。
現在假設我已經有一個賬戶註冊了電子郵件[email protected]我該如何設計讓我連接我的Twitter,Facebook,G +,Instagram賬戶的機制?
方法1
要求用戶先登錄,然後連接到他們的其他賬戶。
臨:
- 安全
缺點:
- 可以是一個痛苦,如果用戶忘記他們的用戶名和密碼?
方法2
假設第三方OAuth提供商確認電子郵件,只需第三方帳戶現有帳戶(在我的應用程序)由第三方提供的現有電子郵件相關聯。
臨:
- 方便,簡單
缺點:
- 安全?
問題
我怎樣才能確保[email protected]從Facebook是從G +相同[email protected]? 還是沒有簡單/用戶友好的方式來做到這一點?