Автоматический вход после подтверждения адреса электронной почты из сообщения электронной почты

Question

Если пользователи успешно подтвердят свой адрес электронной почты, могу ли я просто войти в систему автоматически?

Я считаю следующие причины для этого:

• Ссылка является случайным хешем
• Пользователи уже будут раздражены необходимостью подтвердить
• Я буду доверять любому, кто имеет доступ к почтовому ящику в любом случае, так как вы можете сбросить пароль
• Пользователи могут, конечно, проверять (и, следовательно, автоматически) только один раз

Я спрашиваю, потому что отправка ссылки, которая регистрирует вас автоматически, заставляет меня чувствовать, что я что-то упустил.

Answer 1

Лучше, если вы хотя бы попросите их пароль для подтверждения по электронной почте. Таким образом, вы фактически проверяете, что адрес электронной почты принадлежит пользователю.

Если вы выполняете автоматический вход, вы просто проверяете, существует ли адрес электронной почты и что пользователь, которому принадлежит этот адрес электронной почты, хочет получить доступ к учетной записи.

Относительно вашего третьего пункта: вы, вероятно, доверяете лицам, имеющим доступ к этому адресу, только после того, как вы убедились, что адрес действительно принадлежит пользователю (что можно сделать, запросив пароль во время проверки). *

Answer 2

Да, вы можете. Это вполне разумно. Пока, как вы говорите, вы разрешаете это только один раз для данного сгенерированного URL.

Немного не по теме болтовни: Хотя я немного склонен к этому подходу, потому что мне кажется, что логин на основе электронной почты (т. Е. Сгенерированный токен логина, отправленный на почту) является одним из «лучших» способов предотвращения фишинга в целом потому что это избавляет пользователя от необходимости даже знать свой пароль для вашего сайта (ему просто нужно зайти на него и запросить токен для входа в систему). Во всяком случае, это другое дело.

Answer 3

Да, я думаю, вы должны войти в систему автоматически. Это будет еще более раздражающим, если они должны будут подтвердить свою электронную почту и затем войти снова. Какой смысл проверки тогда? Если проверка прошла успешно, значит, вы уже доверяете им, поэтому войдите в систему.