我已经使用DotNetOpenAuth为我的ASP.NET应用程序实现了直接的OpenID支持。然而,最近我意识到该实现将
这导致了相当多的困惑用户。我不确定此时该怎么办。这是一个错误还是一个特性? 事实上,我可以将此行为视为一种特性:如果用户指定了HTTPS,则用户可能首先不希望系统接受HTTP授权。
另一方面:如果用户出于纯粹的无知而指定了HTTPS(普通网站访问者对“S”部分的目的一无所知),那么拒绝其身份验证尝试会令人困惑。
什么被视为最佳实践?
http://johndoe.example.com/
视为与https://johndoe.example.com
不同的用户。这导致了相当多的困惑用户。我不确定此时该怎么办。这是一个错误还是一个特性? 事实上,我可以将此行为视为一种特性:如果用户指定了HTTPS,则用户可能首先不希望系统接受HTTP授权。
另一方面:如果用户出于纯粹的无知而指定了HTTPS(普通网站访问者对“S”部分的目的一无所知),那么拒绝其身份验证尝试会令人困惑。
什么被视为最佳实践?