Должен ли я различать OpenID по префиксу протокола или нет? http против https
Я реализовал прямую поддержку OpenID для моего приложения ASP.NET сDotNetOpenAuth, Тем не менее, я недавно понял, что реализация лечитhttp://johndoe.example.com/
как отдельный пользователь по сравнению сhttps://johndoe.example.com
.
Это приводит к довольно запутанным пользователям. Я не уверен, что делать на этом этапе.Это ошибка или особенность?
Действительно, я могу рассматривать это поведение как особенность: если пользователь указывает HTTPS, он может не захотеть, чтобы система в первую очередь принимала HTTP-аутентификацию.
С другой стороны: если пользователь указывает HTTPS из-за полной невежественности (случайный веб-посетитель не имеет никакого представления о цели части «S»), то отклонение попытки аутентификации вводит в заблуждение.
Что считается лучшей практикой?