Usuários fazendo login com SSO, sem endereço de e-mail

Funcionalidade
,
1

Esta é uma continuação de [Paid] Plugin- Allow no email address necessary on registration.

Este cenário seria tecnicamente viável?

  • Os usuários fazem login no fórum exclusivamente via SSO. Dado que o e-mail não é necessário em nosso projeto principal, alguns usuários podem ter um e-mail verificado, outros não. Confiamos nesses usuários no fórum tanto quanto confiamos neles em nosso site principal.
  • Quando um usuário sem endereço de e-mail faz login pela primeira vez, um endereço de e-mail falso é criado apenas para satisfazer os requisitos internos do Discourse para IDs de usuário.
  • Esses usuários não receberão nenhum e-mail, eles estão cientes e estão felizes com a troca. Se alguém quiser notificações por e-mail, terá que criar uma conta de e-mail em algum lugar em que confie.

Contexto: por razões de segurança, na Wikimedia muitos usuários têm boas razões para permanecerem editores anônimos, cortando também a ligação a um endereço de e-mail. É por isso que muitos editores da Wikipedia, etc., têm uma conta sem um endereço de e-mail associado. Queremos dar-lhes a mesma oportunidade de participar nas discussões no nosso fórum. Vários usuários perguntaram (em outros lugares ou pessoalmente para nós).

1 curtida
3

Sim. Acho que isso funcionaria. Na verdade, acho que seu sistema poderia enviar username@whatever.invalid como endereço de e-mail e funcionaria, pois acho que tudo sabe para ignorar o TLD invalid.

3 curtidas
4

Obrigado @pfaffman, se isso for uma possibilidade, então talvez seja mais simples do que pensávamos. Estamos usando este plugin para autenticação: GitHub - paviliondev/discourse-wikimedia-auth: A Discourse plugin for authenticating with Wikimedia. Talvez a injeção do endereço de e-mail falso possa acontecer lá?

CC @angus apenas para sua informação. :slight_smile:

1 curtida
5

Estou curioso, você já usou isso com sucesso em produção (pergunta genuína)? Como são os logs (tanto do Discourse quanto do provedor de e-mail) de tal instância?

p.s. Qualquer pessoa lendo isso esperando se livrar da necessidade de e-mails, por favor, observe que o escopo aqui é “Usuários fazem login no fórum exclusivamente via SSO”.

2 curtidas
6

Ha. Não. Eu não quis sugerir que isso funcionasse, fosse uma boa ideia, ou não mataria seu cachorro. Eu não sei o que realmente acontecerá se você tentar isso.

Apenas parece que deveria funcionar. Se você realmente quiser isso e tiver tempo para alguns testes, pode ser que funcione.

Sim, conta com o sso, e com o sso mentindo que o e-mail foi validado.

Seria melhor se algo fosse feito para desativar o e-mail para esses usuários, e eu não sei ao certo o que acontece quando seu remetente recebe um tld inválido. Se ele tentar novamente, você precisaria de algo como um plugin que de alguma forma ignorasse o envio desses e-mails com um tld inválido, ou um campo de usuário personalizado para desativar completamente o e-mail, o que seria uma boa ideia de qualquer maneira.

2 curtidas