是的,这正是我试图处理的张力。
从技术上讲,我同意机构邮箱地址比个人邮箱地址能提供更强的身份保证。我逐渐放弃机构邮箱/SSO(单点登录)的原因,并不是因为个人邮箱是更好的身份证明,而是我希望社区保持明确的独立性,不依赖任何机构的身份系统或邮箱域名来维持持续访问。
自我的首帖以来,我已在网站本身更清晰地说明了当前的过渡状态:
- 欢迎页/登录页现在声明“Physics with Ethan”是独立的,不与任何大学、学校或部门有关联或获得其背书;
- 页面还解释了目前注册登录使用微软工作或学校账户验证进行新用户引导;
- 现有用户现在可以在登录后通过“个人资料 → 偏好设置 → 邮箱”添加个人邮箱地址;
- 我还添加了措辞,要求用户不要使用他人的姓名、邮箱地址或身份进行注册。
因此,我认为当前的立场是一种过渡状态:
- 微软工作或学校验证在引导期间对于降低冒充风险仍然有用;
- 但我希望现有用户添加个人邮箱地址;
- 并且我希望避免让机构邮箱/SSO成为社区的长期依赖。
我仍在尝试解答的实际 Discourse 问题是:
对于一个希望从机构邮箱/SSO 转向本地账户和个人邮箱地址的社区,最安全的模式是保持过渡过程为手动/管理员审核,而不是尝试自动合并账户吗?
例如:
- 允许现有用户在登录状态下添加个人邮箱;
- 在欢迎页上清楚说明当前的引导方法;
- 劝阻误导性注册/冒充行为;
- 避免自动合并账户;
- 仅在确有明确证据表明同一人控制相关账户/邮箱时才合并账户。
这听起来像是正确的 Discourse 原生方向吗?