在一个项目中，想只允许用户通过电子邮件登录，不允许使用用户名登录，合适么？

网络上的邮件库可比用户名库要大得多，当然一般来说电邮地址@前面的部分提取出来直接可以当作用户名库使用。

所以安全方面不存在什么相对隐蔽，你觉得相对隐蔽不过是或许你们网站为了保护用户隐私不被垃圾邮件骚扰而屏蔽了电子邮件的显示，但事实上这并不代表电子邮件更难被猜测到。

真正的安全措施应当在验证码和提示信息上下功夫，我见过很多个愚蠢的网站的提示：该用户不存在。密码输入错误，请查证后登录。

正确的提示方式应当是：用户名或密码错误（不要告诉用户到底是用户名错误还是密码错误）。并且，在验证码没有验证通过前，不进行用户名或密码的校验，统一提示：验证码错误。

使用电子邮件注册好处是，可以显著减少注册的时候，用户名被人使用的尴尬。

以上。