Ich habe eine einfache OpenID-Unterstützung für meine ASP.NET-App mit @ implementier DotNetOpenAuth. Dennoch habe ich kürzlich festgestellt, dass die Implementierung @ behandehttp://johndoe.example.com/ als eindeutiger Benutzer im Vergleich zuhttps://johndoe.example.com.

Dies führt zu einigen verwirrten Benutzern. Ich bin mir nicht sicher, was ich an dieser Stelle tun soll.Ist das ein Fehler oder eine Funktion?

Tatsächlich kann ich dieses Verhalten als Feature betrachten: Wenn der Benutzer HTTPS angibt, möchte der Benutzer möglicherweise nicht, dass das System die HTTP-Authentifizierung überhaupt akzeptiert.

Auf der anderen Seite: Wenn der Benutzer HTTPS aus purer Ahnungslosigkeit angibt (der zufällige Webbesucher hat keine Ahnung über den Zweck des "S" -Teils), ist es verwirrend, seinen Authentifizierungsversuch abzulehnen.

Was wird als Best Practice angesehen?