当用户成功验证其电子邮件地址时,我可以自动将其登录吗?
我认为有以下原因:
我问,因为发送一个自动登录的链接让我觉得我错过了一些东西。
如果您至少要求他们提供电子邮件验证密码,那就更好了。这样,您实际上验证了电子邮件地址属于用户。
如果您自动登录,则只需验证该电子邮件地址是否存在以及该电子邮件地址所属的用户是否希望访问该帐户。
关于你的第三点:一旦你确认地址实际属于用户(你可以通过在验证期间要求输入密码),你希望只信任有权访问该地址的人。
是的你可以。这很合理。只要,正如您所说,您只允许给定生成的URL一次。
稍微偏离主题的漫游:虽然我对这种方法略有偏见,因为我碰巧认为基于电子邮件的登录(即生成的登录令牌发送到电子邮件)是防止网络钓鱼的“更好”方法之一,因为它不需要用户甚至知道他们的网站密码(他们只需要去它并请求'登录'令牌)。无论如何,这是另一回事。
是的我认为你应该自动登录。如果他们必须验证他们的电子邮件然后再次登录,那将更加烦人。那么验证有什么意义呢?如果验证成功,表示您已经信任它们,请将其登录。