ユーザーが自分のメールアドレスを正常に確認したら、自動的にログインできますか?
私はそうするために次の理由を考えます:
- リンクはランダムハッシュです
- ユーザーは、検証する必要があることにすでに悩まされています
- パスワードをリセットできるので、とにかくメールの受信トレイにアクセスできる人なら誰でも信頼します
- もちろん、ユーザーは一度だけ検証(したがって自動ログイン)できます
自動的にログインするリンクを送信すると、何かが足りないように感じるので、お願いします。
3279 次
3 に答える
7
少なくとも、電子メールで確認するためにパスワードを尋ねるとよいでしょう。このようにして、メールアドレスがユーザーのものであることを実際に確認します。
自動ログインする場合は、電子メールアドレスが存在すること、およびこの電子メールアドレスが属するユーザーがアカウントへのアクセスを望んでいることを確認するだけです。
3番目のポイントについて:アドレスが実際にユーザーのものであることを確認した後でのみ、そのアドレスにアクセスできる人を信頼することを願っています(確認中にパスワードを要求することで可能です)。
于 2010-02-09T12:19:41.153 に答える
3
はい、自動的にログインする必要があると思います。電子メールを確認してから再度ログインする必要がある場合は、さらに厄介になります。では、検証のポイントは何ですか?検証が成功した場合、それはあなたがすでにそれらを信頼していることを意味するので、それらにログインします。
于 2010-02-09T12:13:43.757 に答える
3
はい、できます。それはかなり合理的です。あなたが言うように、あなたが与えられた生成されたURLに対して一度だけそれを許可する限り。
少し話題から外れたとりとめのない話: このアプローチについては少し偏見がありますが、電子メールベースのログイン(つまり、生成されたログイントークンが電子メールに送信される)は、一般的にフィッシングを防ぐための「より良い」方法の1つだと思います。 、ユーザーがサイトのパスワードを知っている必要がなくなるためです(ユーザーはサイトにアクセスして「ログイン」トークンを要求するだけです)。とにかく、それは別の問題です。
于 2010-02-09T12:14:13.727 に答える