我运营着一个独立的 Discourse 社区 https://physicswithethan.discourse.diy,该社区此前允许使用机构邮箱地址和外部单点登录(SSO)。
我现在希望转向使用个人邮箱地址的普通本地 Discourse 账户,并避免在注册新用户时依赖机构 SSO 或机构邮箱域名。
我试图安全处理的问题是账户连续性和冒充风险:
- 许多现有用户的个人邮箱是其主邮箱;
- 我希望新用户改用个人邮箱地址;
- 我要防止有人使用他人的姓名或机构邮箱地址注册账户;
- 我还想避免在不明确证明同一人控制相关账户/邮箱的情况下进行不安全或手动的账户合并。
这里推荐的 Discourse 原生方法是什么?
例如,最佳模式是否是:
- 重新启用本地登录;
- 禁用外部 SSO 提供商;
- 将机构域名添加到新注册用户的屏蔽邮箱域名列表中;
- 添加站点通知,要求现有用户将主邮箱更新为个人邮箱;
- 对可疑的新账户使用手动审批/审核;
- 仅在用户验证了对两个账户或邮箱的控制权时才合并账户?
我特别希望避免以下情况:用户可以触发向他人机构邮箱发送邮件,或以他人名义创建误导性账户。
对于这类过渡,人们是否推荐现有的设置或工作流程?