您好,
用户是否仍能使用本地密码登录是故意的吗?假设用户通过 OIDC 登录创建了一个帐户。此时一切正常,用户可以通过 OIDC 提供商登录,并且帐户还受到 OIDC 提供商上 2FA 强制执行的保护。
现在,用户通过密码重置电子邮件功能为这个已连接 OIDC 的帐户设置了本地密码。设置密码后,可以使用本地密码 和 OIDC 登录,但本地登录不受 2FA 保护,可能不安全。更糟糕的是,似乎没有回头路,设置本地密码后,用户无法再次删除它,也无法设置 2FA,因为这会禁用社交登录。我希望有一个选项可以禁止 OIDC 用户进行本地登录,甚至更严格地禁止所有其他社交登录,以便为已连接 OIDC 的帐户强制使用 OIDC 登录。
谢谢。
