对于网站,我希望用户能够使用其唯一的用户名或电子邮件地址登录。
但是,此网站可能允许多个用户帐户使用相同的电子邮件地址。 (例如,他们可能是为两个不同的公司工作的同一个人,等等。另外,出于商业原因,每个用户帐户只与一家公司相关联。因此,如果用户为多个公司工作,他们每个人都有一个登录之一。)
当用户使用电子邮件地址登录时,以下是一些处理此问题的方法:
如果多个帐户与电子邮件地址匹配,并且密码(当然是哈希值)与具有此地址的帐户的至少一个密码匹配,请执行以下操作之一:
一个。告诉用户他们的电子邮件地址与多个帐户相关联,因此他们需要使用他们的用户名登录。
或
B中。与A相同,但如果密码与帐户的其中一个密码完全匹配,则只需接受该密码并以该帐户登录。
我想和B一起使用。然而,使用密码来区分两个帐户似乎可能会有一些明显的安全隐患(我可能会忽略),甚至是一些非显而易见的问题。
这是一个很好的解决方案,还是有广泛接受的“最佳实践”?
答案 0 :(得分:3)
最佳做法是拥有一个帐户。您的数据库将包含指示哪些用户具有访问/成员资格的记录。
答案 1 :(得分:2)
大多数网站使用电子邮件地址+单个密码作为主要标识符。人们已经习惯了它并且它有效。去吧。
如果人们想要与其登录相关联的其他信息(例如其他帐户),他们当然可以共享登录信息,然后选择登录后使用的帐户。它不是登录的一部分,但它与关联。
设置多个登录可能会导致麻烦,因为它需要更多管理,并且增加了人们保持密码安全的可能性。当您需要更改密码时,那么呢?改变它们吗? KISS =保持简单,愚蠢。
答案 2 :(得分:1)
您可以允许单点签名指向"选择您的帐户"用户决定他们希望将哪个别名用于当前会话的页面。
答案 3 :(得分:1)
如果你选择“B”,如果用户为两个帐户选择相同的密码会怎样?您将如何选择自动登录的帐户以及用户如何登录第二个帐户?凌乱。