我正在创建一个需要注册/身份验证的Web应用程序,我正在考虑使用电子邮件地址作为唯一的用户ID.以下是我所看到的利弊(更新后的回复):
PROS
注册期间填写的字段少一个(它只是电子邮件地址,密码和验证密码).我是极简主义注册的忠实粉丝.
您不必担心自己喜欢的用户名已被占用 - 您是唯一使用您的电子邮件地址的用户.(感谢TStamper)
缺点
用户每次登录时都需要输入更多内容.
如果用户想要多个帐户怎么办?他们需要另一个电子邮件地址.(我甚至希望用户能够创建多个帐户吗?)
潜在的攻击者很容易猜到(如果他们知道目标的电子邮件地址,他们就知道登录ID).(感谢Vasil)
用户可能会想要使用他们用于电子邮件帐户的相同密码,这是不好的安全措施.(谢谢托马斯)
如果您经常更改电子邮件地址,可能很难记住在长时间间隔后您用于注册网站的地址.(感谢软件猴子)
黑客可以通过垃圾邮件发送注册表单并使用"已发送的电子邮件"响应来生成有效电子邮件列表.(感谢大卫)
不是每个人都有电子邮件地址.(谢谢尼古拉斯)
如果我使用电子邮件作为id,我会提供一种机制,允许在用户更改地址时更改它.在这种情况下,用户不会将内容发布到公共站点,因此不需要单独的用户名来保护电子邮件地址(但这是其他站点需要考虑的事项).
另一个选择是实现OpenID(这是另一个辩论).
这似乎适用于谷歌,但他们的服务紧密集成.在我的分析中我错过了什么?你有什么建议?有没有人有经验可以分享?
最终编辑
谢谢大家的回复.我已决定使用电子邮件作为ID,但在注册后允许创建用于登录的用户名.这允许一点灵活性,同时保持尽可能短的注册.它还可以防止用户更改电子邮件地址时出现问题(他们只需使用用户名登录并进行更新).我还将实施防止电子邮件地址暴露在注册和登录系统之外的方法(主要是在重复尝试后的冷却期).
您知道大多数登录表单都使用user和pass.
有些人去了电子邮件并通过了.它们的优点和缺点是什么?这就是我的想法.
电子邮件的PROS
缺点
我确实认为这与编程有关,因为Web应用程序的易用性是一个不容忽视的重要事项.
当用户使用电子邮件地址注册时(即不提供现有的OpenID),Stackoverflow是否会创建新的OpenID?你是怎样做的?你在C#中有代码示例吗?Java的?蟒蛇?
我们正处于对产品进行重大改写的早期设计阶段.现在我们的客户主要是企业.我们管理帐户.帐户的用户名各自都在其自己的命名空间中,但这意味着我们无法在服务器之间移动资产.
我们想要移动到单个命名空间.但这带来了唯一用户名的问题.
那么最好的想法是什么?