이메일 메시지에서 이메일 주소 확인 후 자동 로그인

Question

사용자가 이메일 주소를 성공적으로 확인하면 자동으로 로그인 할 수 있습니까?

다음과 같은 이유를 고려합니다.

• 링크는 무작위 해시입니다
• 사용자는 이미 검증을 받아야함으로써 화가납니다
• 어쨌든 이메일받은 편지함에 액세스 할 수있는 사람은 누구나 신뢰합니다. 비밀번호를 재설정 할 수 있기 때문입니다.
• 물론 사용자는 한 번만 검증하고 (따라서 AutoGologin)

나는 당신을 로그인하는 링크를 보내는 것이 자동으로 내가 뭔가 빠진 것처럼 느끼게하기 때문에 묻습니다.

Answer 1

최소한 이메일 확인을 위해 암호를 요청하는 것이 좋습니다. 이렇게하면 실제로 이메일 주소가 사용자에게 속한지 확인합니다.

자동 로그인 인 경우 이메일 주소가 존재 하고이 이메일 주소가 계정에 액세스 할 수있는 것으로 속하는지 확인하십시오.

세 번째 요점과 관련하여 : 당신은 주소가 실제로 사용자에게 속한다는 것을 확인한 후에 해당 주소에 액세스 할 수있는 사람을 신뢰할 수 있기를 바랍니다 (확인 중에 암호를 요청하여 할 수 있음).

Answer 2

그래 넌 할수있어. 꽤 합리적입니다. 당신이 말하는 한, 당신은 주어진 생성 URL에 대해 한 번만 허용합니다.

약간 주제가 아닌 램 블링 :이 접근법에 대해 약간 편견이 있지만 이메일 기반 로그인 (예 : 이메일로 전송 된 로그인 토큰)이 피싱을 방지하는 "더 나은"방법 중 하나라고 생각하기 때문에이 접근 방식에 대해 약간 편견이 있습니다. 일반적으로, 사용자가 사이트의 비밀번호를 알아야 할 필요가 없기 때문에 (단지 사이트로 가서 '로그인'토큰을 요청하면됩니다). 어쨌든, 그것은 또 다른 문제입니다.

Answer 3

예, 자동으로 로그인해야한다고 생각합니다. 그들이 이메일을 확인한 다음 다시 로그인해야한다면 더 성가신 것입니다. 그러면 검증의 요점은 무엇입니까? 확인이 성공하면 이미 신뢰할 수 있으므로 로그인하십시오.