电子邮件验证的隐私问题

Question

我目前正在开发一个小型网站，我的客户非常关心隐私问题。

我正在使用常见的电子邮件验证来实现用户注册，即当用户想要注册时，他需要提供一个电子邮件地址，并且包含验证链接的电子邮件将发送到该地址。

在注册表中，我正在执行通常的表单验证。如果用户名（可以自由选择）已被使用，则会显示一条消息说明这一点。我的第一个想法是对电子邮件地址执行相同的操作，因为该地址在整个系统中也应该是唯一的。

但在某些情况下，即使某人在该网站注册的信息也可能是私人的。但现在，如果有人想知道其他人是否注册，以及他是否知道其他人的电子邮件，他可以简单地尝试使用这个已知地址注册一个新用户，错误消息会告诉他这个人是已经注册了。

我有一个想法如何解决这个问题（我将其作为自我答案发布），但我想知道，1）这个解决方案是否有任何其他缺陷，2）这种情况是否还有其他可能的解决方案。

谢谢。

Answer 1

所以这就是我想到的解决方案。如果您发现任何问题，请发表评论:)

如果新用户使用现有的电子邮件地址，我将仅显示“正常”成功消息，说明带有链接的电子邮件已发送到给定地址。

然后会向该地址发送一封电子邮件，说明有人尝试使用该地址注册新用户，该地址已被使用，并且只能使用一次（基本上，验证错误消息只会发送到该电子邮件地址而不是网络浏览器）。

Answer 2

您是否考虑过选择根本不处理它？

有许多 ID 提供商；使用与 Stack Exchange 系列网站类似的方法可能更适合您的情况。

将 ID 管理委托给外部提供商非常简单，而且比自己处理密码、电子邮件、用户唯一性等更安全。

此外，大多数 ID 提供商将允许您访问注册用户的电子邮件地址，因此这不太可能成为问题。