Inicio de sesión automático después de la verificación dirección de correo electrónico del mensaje de correo electrónico
https://stackoverflow.com/questions/2228848
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Cuando los usuarios verificar su dirección de correo electrónico con éxito, podría yo sólo les conectarse automáticamente?
Considero que las siguientes razones para hacerlo:
- El enlace es un hash al azar
- Los usuarios ya estarán molestos por tener que validar
- Voy a confiar en nadie que tenga acceso a la bandeja de entrada de correo electrónico de todos modos, ya que se puede restablecer la contraseña
- Los usuarios pueden, por supuesto, solamente validar (y por lo tanto de sesión automático) una vez
Me pregunto porque el envío de un enlace que se registra automáticamente me hace sentir que estoy perdiendo algo.
Solución
Es mejor si al menos pedirles su contraseña para la verificación de correo electrónico. De esa manera, en realidad se compruebe que la dirección de correo electrónico pertenece al usuario.
Si el acceso automático, que acaba de comprobar que existe la dirección de correo electrónico y que el usuario esta dirección de correo pertenece a quiere tener acceso a la cuenta.
En cuanto a su tercer punto:. Que es de esperar solamente confía en la persona (s) con acceso a esa dirección una vez que haya verificado que la dirección pertenece realmente al usuario (que se podría hacer al pedir la contraseña durante la verificación)
Otros consejos
Sí se puede. Es bastante razonable. Mientras, como usted dice, sólo se permite una vez a la URL generada dado.
Un poco incoherente fuera de tema: Aunque estoy un poco sesgada acerca de este enfoque, ya que se me ocurre pensar que la conexión basada en correo electrónico (es decir, generaron entrada símbolo enviado al correo electrónico) es el uno de los "mejores" maneras de prevenir el phishing en general , porque le quita la necesidad de que el usuario sepa incluso su contraseña para su sitio (que sólo tiene que ir a la misma y solicitar un token 'login'). De todos modos, eso es otra cosa.
Sí creo que debe registrarlos en forma automática. Va a ser aún más molesto si tienen que verificar su correo electrónico y luego conectarse de nuevo. Cuál es el punto de la verificación, entonces? Si la verificación es positiva significa que ya confiar en ellos, de modo que inicie la sesión.
