我有一个网络应用程序。我不想维护登录信息,所以我采用逐渐流行的登录方式,通过 openid、google、yahoo 等登录。
用户选择登录方式(openid、google、yahoo 等)。经过几段重定向和 id 供应商验证登录成功后,用户被接受。如果我的应用程序第一次看到 id,它会将用户置于注册模式。它会向用户发送一封带有加密验证密钥的电子邮件。用户单击电子邮件中的链接或将密钥复制到注册页面的输入字段中。
然后我坐下来反击并思考。向第一次使用的用户发送带有验证密钥的电子邮件有什么意义?用户是否已经通过 id 供应商服务登录来证明该 id 的所有权。
我正在考虑的反击是,我应该只在用户更改或提供新电子邮件时执行电子邮件密钥验证。我应该只考虑第一次通过 id 供应商成功登录的用户验证,即使是第一次,也不需要通过电子邮件发送密钥验证。
你怎么看?