私はウェブアプリを持っています。ログイン情報を保持したくないので、openid、google、yahoo などで徐々に一般的になっているログイン方法を採用しています。
ユーザーは、ログイン方法 (openid、google、yahoo など) を選択します。リダイレクトが数回行われ、ID サプライヤーがログインが成功したことを確認した後、ユーザーは受け入れられます。私のアプリが初めて id を見た場合、ユーザーは登録モードになります。暗号化された検証キーを含む電子メールをユーザーに送信します。ユーザーは電子メールのリンクをクリックするか、キーを登録ページの入力フィールドにコピーします。
それから私は反撃のために腰を下ろし、考えました。初めてのユーザーに検証キーを含むメールを送信するポイントは何ですか? ユーザーは、id サプライヤー サービスを介してログインすることにより、id の所有権を既に証明していません。
私が考えている反論は、ユーザーが新しい電子メールを変更または提供したときにのみ、電子メールで送信されたキーの検証を実行する必要があるということです。電子メールで送信されたキーの検証を必要とせずに、初めてでも、ID サプライヤーを介して正常にログインした後、検証された初めてのユーザーを検討する必要があります。
どう思いますか?