登录 ID 使用什么？

https://stackoverflow.com/questions/6080

08-06-2019
|

题

我们正处于产品重大重写的早期设计阶段。现在我们的客户主要是企业。我们管理账户。帐户的每个用户名都位于自己的命名空间中，但这意味着我们无法在服务器之间移动资产。

我们想要转移到单个名称空间。但这带来了用户名唯一的问题。

那么最好的主意是什么？

电子邮件地址（带验证）？
唯一的字母数字字符串（“johnsmith9234”）？
我们应该看看 OpenID 吗？

解决方案

电子邮件地址

合理的

用户不会经常更改电子邮件
删除了询问用户名和电子邮件地址的步骤，您无论如何都需要这些
用户通常不会忘记他们的电子邮件地址（参见第一条）
除非用户已经注册了该网站，否则电子邮件将是唯一的，在这种情况下，会将他们转发到忘记密码屏幕
几乎每个人都使用电子邮件作为访问网站的主要登录信息，这意味着采用率不应受到您要求提供电子邮件地址这一事实的影响

更新

注册后，请务必要求用户创建某种用户名，不要在公共网站上乱扔他们的电子邮件地址！此外，使用电子邮件地址作为登录的另一个好处：您不需要任何其他信息（例如密码/密码确认），只需通过邮件向他们发送临时密码，或者完全放弃密码，并在每次他们想要登录时向他们的电子邮件地址发送一次性 URL （看： mugshot.org)

其他提示

OpenID 非常灵活，您应该认真考虑这一点，因为它基本上消除了保存本地用户名和密码的要求并担心身份验证。

现在很多网站都使用 OpenID 和他们自己的，为用户提供了选择。

如果您决定自行推出，我建议您使用电子邮件地址。不过，如果您要创建按帐户对用户进行分组的内容（例如，拥有多个用户的公司），请务必小心。在这种情况下，该电子邮件地址可能会被多次使用（例如，如果它们确实为多个公司工作），您应该允许这样做。

哈！

我喜欢 OpenID，但我仍然会选择电子邮件地址，除非您的用户社区非常精通技术。对于大多数人来说仍然更容易理解和记住。

如果您使用电子邮件地址作为 ID，则无需对其进行验证。当有一天我网站的注册人数突然急剧下降时，我惨痛地认识到了这一点。事实证明，包括我网站的 IP 在内的整个 IP 地址范围都被列入了黑名单。花了很长时间才解决。在其他情况下，我看到 Gmail 将非常合法的电子邮件标记为垃圾邮件，这也会造成麻烦。

最好验证电子邮件地址，但不要让它阻止注册。

现在我们的客户主要是企业。

人们似乎忽略了那条线。如果是企业，要求他们通过 OpenID 登录确实不太实际。他们要么必须使用外部 OpenID 提供商，要么他们可怜的技术人员必须设置和配置公司 OpenID。

如果这是“StackOverflow 是否应该要求 OpenID 登录”或“我的博客评论系统是否应该允许您通过 OpenID 识别自己的身份”，我的答案是“绝对！”，但在这种情况下，我认为 OpenID 不会很合适。

我个人会说带验证的电子邮件、OpenId 是个好主意，但我发现找到您已经使用的提供商很痛苦，我在这里只有一个 openId，因为就在测试版前 2 天，我决定在 blogspot 上开设博客。但互联网上的每个人都有电子邮件地址，尤其是在与企业打交道时，人们不太选择使用个人博客或其他方式进行企业登录。

如果您的大多数客户主要是企业，那么我认为使用电子邮件以外的任何方式都会给您的客户带来问题。大多数人都对电子邮件地址登录感到满意，因为他们是企业客户，可能希望使用工作电子邮件而不是个人帐户。OpenID 造成了一种需要第三方参与的情况，而许多企业不喜欢第三方参与。

我认为 OpenID 绝对值得一看。除了为您提供一个为客户提供统一 ID 的框架之外，它还可以为大型企业提供管理自己登录的能力，并为他们使用的所有产品（包括您自己的产品）提供通用登录。现在 OpenId 还相对较少，这并不是什么大的好处，但随着越来越多的产品开始使用它，我怀疑为每个员工使用通用公司 OpenId 登录的能力可能会成为一个很好的卖点。

由于您主要为企业提供服务，因此我认为自行托管 OpenId 帐户并不是那么不合理。我只是认为额外的灵活性将使您的客户受益。

如果您正在查看 OpenID，您应该查看 http://eaut.org/ 和 http://emailtoid.net. 。基本上，您可以接受电子邮件地址进行登录，并在幕后将其转换为 OpenID，而用户无需了解任何信息。它的东西非常光滑......

OpenID 似乎是编写自己的用户管理/身份验证部分的一个非常好的替代方案。我发现现在越来越多的网站使用 OpenID，因此用户的进入门槛应该相对较低。

许可以下： CC-BY-SA 和归因

不隶属于 StackOverflow