1. дома
  2. Вопрос и ответ
  3. Автоматический логин после проверки адреса электронной почты из сообщения электронной почты

Автоматический логин после проверки адреса электронной почты из сообщения электронной почты

2010-02-09 2 views
3

Когда пользователи успешно подтвердят свой адрес электронной почты, могу ли я просто зарегистрировать их автоматически?Автоматический логин после проверки адреса электронной почты из сообщения электронной почты

Я считаю следующие причины для этого:

  • Ссылка является случайной хэш
  • пользователей уже будет раздражать того, чтобы подтвердить
  • Я буду доверять любому, кто имеет доступ к электронной почте Входящие в любом случае, так как вы можете восстановить свой пароль
  • Пользователи могут конечно только проверить (и, следовательно, автовход) один раз

Я прошу, потому что отправка ссылки, в которой вы автоматически записываете, заставляет меня чувствовать, что я чего-то не хватает.

источник

2010-02-09 Gipsy King

ответ

6

Лучше, если вы хотя бы попросите у них пароль для проверки электронной почты. Таким образом, вы фактически подтверждаете, что адрес электронной почты принадлежит пользователю.

Если вы автоматически авторизуетесь, вы просто убедитесь, что адрес электронной почты существует и что пользователь, которому принадлежит этот адрес электронной почты, хочет получить доступ к учетной записи.

Что касается третьего пункта: вы надеетесь, что доверяете только человеку (лицам), имеющему доступ к этому адресу, как только вы подтвердите, что адрес действительно принадлежит пользователю (что вы могли бы сделать, запросив пароль во время проверки).

источник

2010-02-09 12:19:41 ancow

+5

Я понимаю, что если пользователь ошибочно использует свой адрес электронной почты, владелец ошибочного адреса может войти в систему и увидеть детали, такие как полное имя и адрес. –

+0

Этот ответ должен быть более определенным: всегда безопасно заставить пользователя войти в систему с паролем после подтверждения своего адреса электронной почты, так как в противном случае получатель электронного письма с подтверждением, отправленного на неверный адрес электронной почты, также получит доступ к учетной записи. –

1

Да, я думаю, вы должны авторизовать их автоматически. Это будет еще более раздражать, если они должны подтвердить свою электронную почту и снова войти в систему. Тогда в чем смысл проверки? Если проверка прошла успешно, значит, вы уже доверяете им, поэтому зарегистрируйте их.

источник

2010-02-09 12:13:43

3

Да, вы можете. Это вполне разумно. Пока, как вы говорите, вы разрешаете только один раз для данного сгенерированного URL-адреса.

Немного не по теме бессвязных: Хотя я немного предвзято об этом подходе, потому что я, случается, думаю, что по электронной почте на имя пользователя (т.е. генерироваться Войти маркер отправляется на адрес электронной почты) является одним из «лучше «способы предотвращения фишинга в целом, поскольку он убирает потребность в том, чтобы пользователь даже знал свой пароль для вашего сайта (им просто нужно пойти к нему и запросить токен входа»). Во всяком случае, это другое дело.

источник

2010-02-09 12:14:13

+0

Я не уверен, что понимаю адрес электронной почты, чтобы пользователи открывали сообщение электронной почты каждый раз, когда они хотят войти в систему? –

+0

@ Gipsy: Да, это отдельная схема, о которой я думал несколько лет назад. Да, вам нужно посетить сайт и запросить Войти «маркер», который будет отправить ссылку одноразовых лицам счетов, которые они будут нажмите чтобы войти. Это спорно, насколько практично это, и я никогда сделал это сам, но это * - общее решение проблемы «фишинга», которую страдают некоторые сайты. Здесь это не особенно актуально; следовательно, причина, по которой я назвал ее вне темы rambling :) –

+1

Хорошо. Может быть, объединить его с функцией «оставаться в системе»? –

Смежные вопросы

 Смежные вопросы