OpenID
Возник тут при работе над последним проектом интересный вопрос:
Вот у нас есть сервис на котором пользователь регистрируются через OpenID. Поначалу все хорошо: пользователь зарегистрировался, ввел личную информацию, если она не пришла через SRE, начал создавать контент.
Дальше начинаются проблемы: У пользователя есть возожность делать ряд необратимых деструктивных действий, как то: удалять разделы системы или собственный профиль с сервиса. При этом к компьютеру пользователя могут иметь доступ посторонние лица и помешать им удалить за пользователя его профиль в принципе нечему.
В операционных системах и сайтах с обычной авторизацией это решается необходимостью для совершения всех подобных действий обязательно вводить юзерский пароль. Но с OpenID этого не сделать - пароля там нет. Мы можем, конечно, его посылать на принудительную переавторизацию к провадеру OpenID, но если у пользователя на провайдере хранится кука, то там ему тоже не надо ничего вводить, только нажать на кнопку подтверждения, что нам никак не поможет.
Пока есть только мысль все действия вроде удаления или смены адреса почты делать с почтовым подтверждением - пока по ссылке в письме не пройдешь, действие не совершается. Но если человек меняет почту в связи с утратой старой, то подтвердить новую он никак не сможет, что грустно.
Никто с это проблемой не сталкивался? Может есть решения получше?
Вот у нас есть сервис на котором пользователь регистрируются через OpenID. Поначалу все хорошо: пользователь зарегистрировался, ввел личную информацию, если она не пришла через SRE, начал создавать контент.
Дальше начинаются проблемы: У пользователя есть возожность делать ряд необратимых деструктивных действий, как то: удалять разделы системы или собственный профиль с сервиса. При этом к компьютеру пользователя могут иметь доступ посторонние лица и помешать им удалить за пользователя его профиль в принципе нечему.
В операционных системах и сайтах с обычной авторизацией это решается необходимостью для совершения всех подобных действий обязательно вводить юзерский пароль. Но с OpenID этого не сделать - пароля там нет. Мы можем, конечно, его посылать на принудительную переавторизацию к провадеру OpenID, но если у пользователя на провайдере хранится кука, то там ему тоже не надо ничего вводить, только нажать на кнопку подтверждения, что нам никак не поможет.
Пока есть только мысль все действия вроде удаления или смены адреса почты делать с почтовым подтверждением - пока по ссылке в письме не пройдешь, действие не совершается. Но если человек меняет почту в связи с утратой старой, то подтвердить новую он никак не сможет, что грустно.
Никто с это проблемой не сталкивался? Может есть решения получше?