如何处理同一用户的多个openID

Question

对于我的网站，我使用的登录系统与 SO 上的非常相似。用户可以使用 Facebook、Google（Gmail openID）、Twitter 帐户登录。

这个问题与特定的 oAuth 或 openID 实现无关。

问题是如何知道同一用户是否通过不同的提供商登录。

让我举个例子：

Bobo通过点击“使用 Facebook 登录”来登录网站。。因为这是他第一次来访，我们为他创建了一个帐户。

后来Bobo来到了该网站。这次他点击了“使用 Google 登录”。那么我如何知道这是否是同一个人，以便我可以将此提供者添加到他的帐户中，而不是创建一个新的（和重复的）帐户。

我可以只信任电子邮件吗？

处理这个问题的最佳方法是什么。那么如何做到呢？

有什么想法吗？

编辑： 如果我信任电子邮件，同一电子邮件是否有可能被不同用户使用？这可能是一个安全问题吗？

Answer 1

我认为除非用户再次明确表示这是 Bobo，否则您无法真正知道这一点。他的 FB 和 Google OpenID 身份可能具有完全不同的信息（和我的一样）。只有Bobo知道这些是同一个人的。

请参阅此处的 SO：您使用 OpenID 登录，然后可以将另一个 OpenID 链接到您的帐户。提示您的用户也这样做。在登录过程中提供足够大的“我在这里已经有一个帐户”按钮。

Answer 2

除非两个帐户提供相同的电子邮件地址，否则您将无法可靠地确定它们是同一用户。

如果您希望用户能够使用多个 oAuth/OpenID 帐户登录，您可以提供一种机制来允许用户从其用户帐户添加其他身份验证。

Answer 3

转到此网站上您的个人资料，在您的详细信息上方，您将看到 2 个链接：编辑|添加 openid

通常您将有 1 个用户 = 1 个登录详细信息（登录名/密码与其余信息存储在一起）。在这种多 ID 的情况下，您必须单独存储登录详细信息（1 个用户可能拥有多个登录 ID）。数据库表之间的简单一对多关系。