Автоматический вход после проверки адреса электронной почты из сообщения электронной почты
https://stackoverflow.com/questions/2228848
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Когда пользователи успешно проверяют свой адрес электронной почты, могу ли я просто ввести их в систему автоматически?
Я считаю следующие причины сделать это:
- Ссылка - случайный хэш
- Пользователи уже будут раздражены тем, что необходимо проверить
- Я буду доверять любому, кто имеет доступ к почтовому почтовому ящику, так как вы можете сбросить свой пароль
- Пользователи, конечно, могут проверить (и, следовательно, автологин) только один раз
Я спрашиваю, потому что отправка ссылки, которая автоматически регистрирует вас, заставляет меня чувствовать, что я что -то упускаю.
Решение
Лучше, если вы, по крайней мере, попросите у них пароль для проверки электронной почты. Таким образом, вы фактически проверяете, что адрес электронной почты принадлежит пользователю.
Если вы автоматически-логин, вы просто проверяете, что адрес электронной почты существует и что пользователь этот адрес электронной почты принадлежит Wants Access к учетной записи.
Что касается вашего третьего пункта: надеясь, что вы доверяете человеку (ы) с доступом к этому адресу, как только вы подтвердите, что адрес действительно принадлежит пользователю (что вы можете сделать, запрашивая пароль во время проверки).
Другие советы
Да, ты можешь. Это вполне разумно. Пока, как вы говорите, вы разрешаете его только один раз для данного сгенерированного URL.
Слегка не по теме бессвязно:Хотя я немного предвзят в этом подходе, потому что я думаю, что логин на основе электронной почты (т.е. сгенерировал токен для входа в электронную почту) является одним из «лучших» способов предотвращения фишинга в целом, потому что он отбирает необходимость для пользователя даже знать свой пароль для вашего сайта (им просто нужно перейти к нему и запросить «токен для входа»). Во всяком случае, это еще один вопрос.
Да, я думаю, что вы должны автоматически войти в систему. Это будет еще более раздражающим, если им придется проверить свою электронную почту, а затем войти в систему снова. Какой смысл проверки тогда? Если проверка успешна, это означает, что вы уже доверяете им, поэтому войдите в них.
