Что за и против использования являются адресом электронной почты как идентификатором пользователя?
Полагаю, вам нужно установить сертификат клиента в CurrentUser\My хранилище сертификатов, а не LocalMachine. Обычные пользователи не имеют доступа к сертификатам, установленным в хранилище LocalMachine.
Обновление
Описанная выше настройка хорошо работает, когда я использую внутренний сервер Visual Studio, нажимая Google Chrome. Но ошибка в том, что он публикуется в IIS.
веб-сайт в IIS работает в контексте безопасности пула приложений. Вы должны установить сертификат в Личное хранилище учетной записи, используемой пулом приложений. Когда вы запускаете веб-приложение в отладчике Visual Studion, оно запускается под вашей учетной записью, и ваша учетная запись, очевидно, имеет этот сертификат в личном хранилище. Ошибка предполагает, что сертификат не установлен в личном хранилище пула приложений.
14 ответов
Я склонен не предпочитать про/обманные списки и вместо этого пытаться думать о преимуществах и проблемах.
проблема:
Некоторые пользователи испытают желание использовать свой адрес электронной почты от их ISP. При соединении с одним только электронным письмом, может быть трудным для пользователей, которые забывают обновлять их электронную почту на всех веб-сайтах, которые они зарегистрировались в том, прежде чем они изменят ISPs.
Вместо этого:
необходимо рассмотреть разрешение пользователю обеспечить несколько адресов, также выбранный пользователями идентификатор и затем позволить пользователю решить то, что они хотят, они хотят сделать. Возможно, также рассмотрите разрешение пользователю предоставить учетную запись OpenID.
Хорошая установка должна потребовать имени пользователя и электронной почты. Разрешение пользователю войти в систему или с адресом электронной почты или с именем пользователя очень удобно для пользователя. Дополнительное преимущество является пользователем, может изменить их адрес электронной почты. Это также позволило бы несколько счетов на одно электронное письмо.
Один довод "против" мог бы быть то, что, если это - адрес электронной почты, вход в систему может быть предположен людьми и предпринятыми атаками перебором. Который не является действительно большой проблемой, с тех пор на большинстве сайтов сегодня логины публично отображены.
самое большое про - то, что логины легче помнить этот путь.
Придерживайтесь адресов электронной почты, они используются везде, на самом деле большинство главных веб-сайтов использует их, они уникальны, таким образом, они сохраняют пользователя от попытки найти имя, это не используется другими, также пользователи не забудут свои адреса электронной почты (в большинстве случаев, по крайней мере:)), который непохож на имена пользователей, которые они продолжат забывать, не посещают ли они Ваш сайт очень часто.
Вы не должны быть взволнованы по поводу них являющийся слишком длинным как все главные браузеры (IE, FF.. и т.д.), предлагают автоматическое заполнение формам, которое включено по умолчанию, таким образом, Вы вводите первые буквы в своем электронном письме, и Вы получаете выпадающий список (т.е. автоматически заполните список), где Вы просто нажимаете для ввода целой электронной почты, лично я почти никогда не ввожу адрес электронной почты полностью, я всегда ввожу первые буквы, тогда выбирают электронную почту из выпадающего списка автоматического заполнения. Кроме того, если Вы позволите пользователям помниться (использование флажка Remember Me и персистентных cookie), то это будет другая причина не волноваться об этом.
я не знаю о Вашем приложении, но обычно пользователи, имеющие несколько учетных записей, не желанны в большинстве приложений.
ДОВОД "ПРОТИВ": , Если я изменяю свой адрес электронной почты, внезапно все мои имена учетной записи недопустимы. Мое имя не изменяется, но моя электронная почта часто делает. Я иногда повторно посещал сайт после многих лет и застревал..., каков был мой адрес электронной почты два года назад???
ДОВОД "ПРОТИВ": , Если хакер может попытаться регистрировать случайные адреса электронной почты в массе, он будет в состоянии выяснить, какой из тех адресов допустим, на основе которого перестала работать регистрация. Это - тактика, которая может использоваться для соединения списков известных действующих электронных адресов, которые являются горячим товаром на черном рынке спама.
, Хотя теперь, когда я думаю об этом, это - проблема, которая влияет на любой веб-сайт, который просит адрес электронной почты как часть процесса регистрации, независимо от того, существует ли отдельное имя пользователя. Но это - все еще что-то для размышления о.
Одна установка можно хотеть рассмотреть: Имейте и имя пользователя и электронное письмо. Электронная почта используется для входа в систему и всегда сохраняется частной, имя пользователя используется для идентификации пользователя в любом общедоступном взаимодействии, таком как добавление комментария. Это завершает то, чтобы быть немного более безопасным, поскольку обе половины пользовательских данных для входа в систему сохранены частными, тогда как при использовании имени пользователя и для входа в систему и для общедоступной идентификации половина входа в систему уже известна.
я определенно соглашаюсь с Вами о наличии минимальной регистрации для большинства случаев, но в зависимости от того, что Вы делаете, можно хотеть сбалансировать это относительно дополнительной защиты для пользователей. Четыре поля не возмутительны для регистрации, (имя пользователя, электронная почта, пароль, подтвердите пароль), и если Вы чувствуете себя особенно предприимчивыми, Вы могли бы сократить его к три путем отбрасывания поля подтверждения пароля, или два путем пользования электронной почтой им пароля, который они могут изменить позже.
ДОВОД "ПРОТИВ": Не у всех есть адрес электронной почты. Рассмотрите, получает ли к Вашей базе данных когда-либо доступ внутреннее приложение. Если Вы выполните хранилище, то люди будут призыв и размещать заказ по телефону и отказываться вводить адрес электронной почты. Таким образом, при наличии адреса электронной почты, поскольку идентификатор пользователя по умолчанию прохладен, убедиться позволить альтернативам входить в систему. (Конечно, это зависит от контекста.)
Научился этому на горьком опыте.
Как пользователь веб-сайтов, я могу сказать Вам, что очень не хочу запомнить ненужные имена пользователей. Я не использую уникальный дескриптор или что-либо так, что я никогда не могу помнить, какое изменение моего имени я использовал, который не был уже взят. Я очень ввел бы свой адрес электронной почты.
кроме того, мне нравится OpenID.
CONS
- , Когда тот же пароль используется для почтового ящика, ставя под угрозу тот автоматически, означает ставить под угрозу другой.
Я думаю, что Вы отсутствовали Pro:
Пользователи, вероятно, будут помнить свой адрес электронной почты; и поскольку адреса электронной почты уникальны, они никогда уже не должны волноваться об их предпочтительном имени пользователя, взятом.
Лично, я предпочитаю просто использовать свой адрес электронной почты в качестве имени пользователя. Это - то меньше вещи помнить, и я никогда не должен волноваться о своем предпочтительном уже взятом имени.
Просто мои 2 цента!
люди PRO
очень не хотят иметь необходимость создать уникальное имя, которое соответствует их идентификатору, и это не было уже взято для регистрации для сайта.. Таким образом, это - то, почему идентификатор пользователя как АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ так охвачен.
исключая : TStamper1930, кто на самом деле хочет помнить 1930 в конце моего имени, которое я действительно хотел
Чтобы решить вашу проблему, связанную с тем, что письмо слишком долго набирать каждый раз. Я применил библиотеку StringScan Ruby.
require 'strscan'
def signup!(user, &block)
self.email = user[:email] unless user[:email].blank?
str = StringScanner.new(self.email)
str.scan_until(/@/)
str.pre_match
self.login = str.pre_match
и т.д.
Затем просто измените метод входа, чтобы разрешить либо email, либо логин для совпадения пароля.
Это работает так же, как google или mobileme. Пользователь может выбрать просто ввести имя пользователя электронной почты (т.е. имя пользователя вместо username@gmail.com.)
.