当用户成功验证他们的电子邮件地址后,我可以让他们自动登录吗?
我认为这样做的原因如下:
- 链接是随机散列
- 用户已经对必须验证感到恼火
- 无论如何,我都会信任任何有权访问电子邮件收件箱的人,因为您可以重置密码
- 用户当然只能验证(因此自动登录)一次
我问是因为发送一个自动登录的链接让我觉得我错过了一些东西。
3279 次
3 回答
7
如果您至少向他们询问他们的电子邮件验证密码,那就更好了。这样,您实际上验证了电子邮件地址是否属于用户。
如果您自动登录,您只需验证电子邮件地址是否存在以及该电子邮件地址所属的用户是否想要访问该帐户。
关于您的第三点:您希望只有在您验证该地址实际上属于用户后才信任有权访问该地址的人(您可以通过在验证期间询问密码来做到这一点)。
于 2010-02-09T12:19:41.153 回答
3
是的,我认为您应该自动登录。如果他们必须验证他们的电子邮件然后重新登录,那就更烦人了。那么验证的意义何在?如果验证成功,则表示您已经信任他们,因此请登录。
于 2010-02-09T12:13:43.757 回答
3
是的你可以。这很合理。正如您所说,只要您只允许给定生成的 URL 一次。
稍微跑题了: 虽然我对这种方法有点偏见,因为我碰巧认为基于电子邮件的登录(即生成的登录令牌发送到电子邮件)是一般防止网络钓鱼的“更好”方法之一,因为它不需要用户知道他们的网站密码(他们只需要去它并请求一个“登录”令牌)。无论如何,这是另一回事。
于 2010-02-09T12:14:13.727 回答