it-swarm.cn

更改用户的登录电子邮件后,应该怎么办?

我正在制作系统的在线前端。该系统通常由向客户提供服务的公司使用。除了直接与业务中的真实人物打交道外,客户还可以选择使用此在线前端。

现在,用户使用电子邮件地址作为用户名登录在线前端。该电子邮件地址已由公司与其帐户关联。用户可以随时通过与公司的直接通信来更改此电子邮件地址。如果用户以这种方式更改了电子邮件地址,会发生什么?

显然,新的电子邮件地址需要无缝地登录用户。当用户尝试登录时,旧电子邮件地址会怎样?

  • 我们会抛出“无效电子邮件”错误吗?
  • 我们是否提示用户使用新的电子邮件地址登录?
  • 我们是否允许用户使用旧地址登录,但在前端显示醒目的选项,要求他们进行切换?

作为一个懒惰的程序员,我倾向于第二种选择。也许第三个选项更有用?似乎在程序中以及用户如何考虑其帐户方面都增加了另一层复杂性。

12
James

您应该抛出“无效电子邮件”错误。它是最透明的,可以准确传达发生的情况,并且用户可以根据该反馈立即调整行为,再次看到该消息的可能性很小。让我讲解为什么其他选项不是一个好主意:

  • 提示使用新地址登录是一种安全性反模式。如果我知道您的旧电子邮件地址,现在我可以知道您使用服务X后会发现您的新电子邮件地址是什么。这可能是隐私问题,尤其是在约会网站或社交网络上。 ((Edit:这只是一个问题,如果您实际显示新的电子邮件地址;我误读了您的项目符号,并认为那是您在说的。但问题仍然存在:)

  • 您不知道用户为什么要更改他/她的电子邮件地址,因此继续将该电子邮件地址锁定到该帐户是有风险的。就您所知,他们取消了以前使用电子邮件主机的帐户,而该地址现在已由其他可能也想要访问您的服务的人使用(不太可能,但从理论上来说!)。

如果您实施“无效电子邮件”警告,则可以使用我们值得信赖的低成本朋友Copywriting使事情变得更加友好:

您输入的电子邮件地址或密码无效。 [...]也许您更改了用于登录的电子邮件地址?

您还可以提供请求使用哪个电子邮件地址登录的功能。为此而无需结束上述反模式,请允许用户输入他/她的old电子邮件地址,然后显示一条消息,指出“我们已将电子邮件发送到您用于登录的文件上的地址”。然后,用户将能够通过您发送给他们的电子邮件中的关联来记住他们正在使用哪个电子邮件地址。当然,您需要仔细检查用户是否不介意保留他们过去的电子邮件地址的日志-他们可能不满意。

以上所有方面都超出了大多数面向消费者的网站在用户友好性方面的实现范围。通常,更改您的电子邮件地址是永久性的更改,如果您忘记所做的更改,则无法解决问题。例如,考虑一下您的Google帐户:在那里更改电子邮件地址,然后忘记了,除了注册电话号码以使他们可以向您发送短信以外,您可能还有一个很大的问题。

编辑:显然,最好的解决方案是将第一点和第二点结合起来,在撰写此答案之前,我忽略了对它们的全面阅读。不过,大多数答案仍然有意义。

12
Rahul

在安全性与可用性方面,一些系统之所以不说输入的是电子邮件还是密码,是因为说“无效的电子邮件”是相反地向黑客发出了给定电子邮件的信号- does当存在is时起作用。

因此,我不会说“无效的电子邮件”,而是说“无法识别电子邮件或密码”。

17
Julian H

如果将电子邮件地址用作唯一ID,那么我希望系统忘记了原始电子邮件,现在将我与新电子邮件相关联。所以我期待一个错误。消息可能暗示他们可能已更改了电子邮件地址。

无论您做什么,在更改为新电子邮件地址时,请按照以下方式将电子邮件转到原始电子邮件地址:“此帐户的电子邮件地址已更改为[新电子邮件]。如果不正确,请[添加一个链接以对此更改提出异议]。”

苹果不这样做。当有人入侵您的iTunes帐户并更改电子邮件地址时,这很糟糕。

5
DA01

这个问题有点误导,因为它实际上使用了单词“电子邮件地址”,它适用于标识用户的任何唯一字符串。关于将机密信息发送到可能错误的电子邮件地址,存在一些单独的问题;我不会解决这些。

关于“用户标识字符串已更改”问题,我工作的网站已实施了一种解决方案,其工作方式如下:

  • 当用户ID更改时,旧ID仍会保留一段时间。
  • 当用户使用其新ID登录时,旧ID将被释放以供其他用户稍后使用。
  • 如果用户使用旧ID登录,系统将向他们显示一个页面,该页面指示其ID已更改以及新ID是什么。这被认为是安全的,因为ID只是一个名称,并且需要密码。大概只有用户知道他/她的密码。
  • 在“用户名已更改”页面上,有一个链接可以将用户带入站点。单击该链接将释放旧的ID。将来尝试使用旧ID登录失败。

如果用户出于安全考虑而更改其ID,那么他们真正应该做的就是更改其密码。在这种情况下,该ID是公众已知的用户名,因此出于安全目的而对其进行更改没有任何好处。

如果您需要确保将电子邮件发送到正确的地址,则需要实施某种系统,在该系统中,电子邮件的收件人可以对电子邮件地址进行身份验证并证明邮件的接收,其中可能包括一些乐队信息,例如SMS消息之类的东西。但是,这是一个单独的问题。

1
Mr. Shiny and New 安宇