我用DotNetOpenAuth爲我的ASP.NET應用程序實現了一個直接的OpenID支持。然而,我最近意識到,與https://johndoe.example.com
相比,實施方案將http://johndoe.example.com/
視爲不同的用戶。我應該根據協議前綴區分OpenID嗎? http vs https
這導致了不少困惑的用戶。我不確定此時該做什麼。 這是一個錯誤或特徵?
的確,我可以將此行爲視爲一項功能:如果用戶指定HTTPS,則用戶可能不希望系統首先接受HTTP認證。另一方面:如果用戶從純粹的無知中指定HTTPS(偶然的Web訪問者對「S」部分的用途不甚了了),那麼拒絕它的身份驗證嘗試就會造成混淆。
什麼被認爲是最佳實踐?
您一頭霧水:「如果用戶指定HTTPS,用戶可能不希望系統首先接受HTTP驗證。」 – keturn 2010-04-06 18:54:46