Механизм восстановления доступа, если сайт поддерживает только вход OpenID

Question

Скажем, у меня есть сайт, например StackOverflow, который поддерживает только вход в OpenID. Предположим, что у кого-то была учетная запись на сайте, связанная с его OpenID, а затем он потерял доступ к своему провайдеру OpenID (это, безусловно, возможно и не сложнее, чем потерять пароль по электронной почте). Как он сможет восстановить доступ к своей учетной записи?

Я вижу два варианта: один из них - обычная последовательность «по почте», только подходящая, если он предоставил адрес электронной почты.

Во-вторых, он мог бы предоставить резервную копию OpenID для таких чрезвычайных ситуаций (именно так я и предполагаю).

Как вы (или не могли бы) реализовать восстановление доступа с помощью OpenID? Есть предположения?

Я использую RoR + Authlogic-openid, если это имеет значение.

Answer 1

Я бы не стал. Я бы опирался на провайдера ID пользователя, чтобы справиться с этим. Если провайдер пользователя не делает этого, пользователь должен в следующий раз выбрать нового поставщика. Это может звучать недружелюбно, но это просто подталкивает требование к провайдеру, который является частью философии OpenID. Потеря доступа - это не худшее, что может сделать провайдер для пользователя, поэтому я чувствую себя комфортно, полагаясь на поставщика, чтобы правильно разобраться с ситуацией.

Один из способов помочь пользователю связать вторую личность со своей учетной записью - пользователь, который теряет доступ к одному, может использовать другой. Это должно быть сделано пользователем, до доступ был утерян, однако.

Это то, что делает StackOverflow - вы можете добавить дополнительные идентификаторы во время аутентификации, и если вы выйдете из системы и попытаетесь войти в систему, вам не будет предложена опция входа без использования OpenID.