電子メールメッセージからの電子メールアドレスの確認後の自動ログイン

Question

ユーザーが電子メールアドレスを正常に確認したとき、自動的にログインするだけですか？

私はそうするための次の理由を考えます：

• リンクはランダムハッシュです
• ユーザーはすでに検証しなければならないことでイライラしています
• とにかく電子メールの受信トレイにアクセスできる人は誰でも信頼します。パスワードをリセットできるからです
• もちろん、ユーザーは1回だけ検証できます（したがって自己学生）

あなたをログに記録するリンクを自動的に送信すると、何かが足りないように感じさせるので、私は尋ねています。

Answer 1

少なくとも電子メールの確認のためにパスワードを尋ねる方が良いでしょう。そうすれば、実際にメールアドレスがユーザーに属していることを確認します。

Auto-Loginの場合、メールアドレスが存在すること、およびこのメールアドレスがアカウントへのアクセスを要求するユーザーに属していることを確認するだけです。

3番目のポイントに関しては、アドレスが実際にユーザーに属していることを確認したら、そのアドレスにアクセスして人のみを信頼することを願っています（検証中にパスワードを要求することでできることができます）。

Answer 2

はい、できます。それはかなり合理的です。あなたが言うように、あなたは与えられた生成されたURLに対してそれを一度だけ許可します。

わずかにトピックのとりとめのない：私はこのアプローチについて少し偏っていますが、電子メールベースのログイン（つまり、電子メールに送信されたログイントークンを生成する）は、フィッシングを防ぐための「より良い」方法の1つであると思うので、私はこのアプローチについて少し偏っていますが 一般に, 、ユーザーがサイトのパスワードを知る必要性を奪うため（彼らはそれに移動して「ログイン」トークンを要求する必要があります）。とにかく、それは別の問題です。

Answer 3

はい、自動的にログインする必要があると思います。電子メールを確認してから再度ログインする必要がある場合、さらに迷惑になります。それでは、検証のポイントは何ですか？検証が成功した場合、それはあなたがすでにそれらを信頼することを意味するので、それらをログインしてください。