Доступ к механизму восстановления, если сайт поддерживает только вход OpenID

Question

Скажем, у меня есть сайт, такой как StackOverflow, который поддерживает только вход в систему OpenID. Предположим, у кого-то была учетная запись на сайте, связанная с его OpenID, а затем он потерял доступ к своему провайдеру OpenID (это, безусловно, возможно и не сложнее, чем потерять пароль электронной почты). Как он тогда восстановит доступ к своей учетной записи?

Я вижу два варианта: один - это обычная последовательность mail-me-a-key, подходящая только в том случае, если он предоставил адрес электронной почты.

Во-вторых, он мог бы предоставить резервный OpenID для таких аварийных ситуаций (именно это я и предполагаю).

Как вы (или планируете) реализовать восстановление доступа с помощью OpenID? Есть мысли?

Я использую RoR + Authlogic-openid, если это имеет значение.

Answer 1

Я бы не стал. Я бы положился на поставщика идентификатора пользователя, чтобы справиться с этим. Если поставщик пользователя этого не делает, пользователь должен выбрать нового поставщика в следующий раз :) Это может показаться недружественным для пользователя, но это просто выдвигает требование к поставщику, что является частью философии OpenID. Потеря доступа - это не самое страшное, что провайдер может сделать для пользователя, поэтому я чувствую себя комфортно, полагаясь на провайдера, чтобы он справился с ситуацией должным образом.

Один из способов быть полезным - позволить пользователю связать вторую учетную запись со своей учетной записью - пользователь, потерявший доступ к одной, может использовать другую. Однако пользователь должен сделать это за до потери доступа .

Это то, что делает StackOverflow - вы можете добавлять дополнительные идентификаторы во время аутентификации, и если вы выходите из системы и пытаетесь войти в систему, вам не предлагается опция входа без OpenID.