如何将两个 OpenID 提供商关联为同一用户

Question

我已经在我的网站上实现了 OpenID，我很好奇 stackoverflow.com 等网站如何知道我的 Gmail 帐户已链接到我的 Facebook 帐户。

例如，我第一次访问 stackoverflow.com，并使用我的 Gmail 帐户登录。然后我注销，清除浏览器中的 cookie，然后返回 stackoverflow.com，但这次我使用 facebook 而不是 gmail 登录。不知何故，stackoverflow.com 知道我的 Facebook 帐户已链接到我的 Gmail，因为我的所有用户设置都从我第一次使用 Gmail 登录时恢复。显然 stackoverflow 知道我的 Gmail 和 Facebook 帐户都是我的。

回到我的实现：当我使用 gmail 或 facebook 登录用户时，我会收到来自 RPX 的回复，其中包含一些用户信息，例如他们的姓名和电子邮件地址。可以肯定地说，如果我有一个用户使用其 gmail 帐户登录我的网站， [电子邮件受保护]，然后使用其 Facebook 登录，其 Facebook 帐户也使用 [email protected] 他们实际上是同一个人？

其他人也是这样实现同样的目标的吗？

Answer 1

我想说，可以安全地假设两个具有相同电子邮件地址的人是同一用户。

另一种方法是提供链接网站上两个帐户的功能。我的意思是说，我已经看到社交身份验证的实现，如果您使用 OpenID 或 Facebook 登录，每个身份验证都将是一个单独的实体。在用户尝试使用不同的系统登录之前，您可以提示他们连接到他们的 Facebook/Twitter/OpenID 帐户。一点点社会工程学可能会帮你解决很多问题。如果他们不连接，然后继续单独登录，那么您当然会遇到问题。我突然想到，TripIt 允许您将单独的帐户合并为一个。您可能会提供此功能。

只是一些想法。