我使用DotNetOpenAuth为我的ASP.NET应用程序实现了直接的OpenID支持。然而,我最近意识到,与http://johndoe.example.com/相比,实施将https://johndoe.example.com视为独特用户。
这导致了相当多的混淆用户。我不确定此时该做什么。 这是错误还是功能?
实际上,我可以将此行为视为一项功能:如果用户指定了HTTPS,则用户可能不希望系统首先接受HTTP身份验证。
另一方面:如果用户指出HTTPS纯粹是无能为力(临时网络访问者对“S”部分的目的毫无头绪),那么拒绝它的身份验证尝试就会让人感到困惑。
什么被认为是最佳做法?
答案 0 :(得分:4)
是的 - 它们完全不同,应该这样对待。
对OP的建议是始终使用https,但情况并非如此(刚才)。
答案 1 :(得分:-1)
理论上,http和https身份可能会有所不同。实际上(由现实世界中的提供者实施)他们不应该这样做。
StackOverflow无法在http://abdullin.myopenid.com和https://abdullin.myopenid.com之间区分,因此解决方案可能适用于99%的方案。