Per quanto tempo dovrebbe durare un link di conferma dell'indirizzo e-mail e perché deve scadere del tutto?

La maggior parte dei siti web consente di utilizzare un indirizzo e-mail solo per un account, il che ha senso perché la maggior parte delle volte gli utenti hanno bisogno di un solo account. Pertanto, è richiesto un indirizzo e-mail univoco.

Detto questo, una volta che l'utente si è registrato ma ha solo bisogno di confermare il suo indirizzo e-mail, si desidera inserire nel database l'indirizzo e-mail dell'utente per non consentire a qualcun altro o alla stessa persona di registrarsi ancora. Se non si gestisce la scadenza della conferma dell'e-mail, qualcuno potrebbe registrarsi con l'indirizzo e-mail di qualcun altro e non confermare mai ciò che bloccherebbe l'e-mail dell'utente legittimo se desidera mai registrarsi al proprio sito Web.

Se l'utente non ha confermato il proprio indirizzo e-mail nel periodo di tempo specificato, lo si desidera rendere nuovamente disponibile, nel caso in cui non fosse realmente il suo indirizzo o se desidera registrarsi nuovamente in seguito. Considera il caso in cui un utente ha inserito l'indirizzo e-mail sbagliato per errore.

Ora per il giusto periodo di tempo, direi che dipende dal tipo di sito Web che è. Non vedo il punto di consentire più di poche ore perché l'utente dovrebbe essere in grado di accedere rapidamente al suo indirizzo e-mail se fosse in grado di registrarsi al tuo sito web. Considera il caso in cui un utente ha dimenticato la sua password di indirizzo e-mail e non può accedervi. Potrebbe aver bisogno di fare qualche passo indietro per ottenere la sua password, che potrebbe richiedere un po 'di tempo. Tuttavia, farebbe davvero male se dovesse registrarsi di nuovo? Ancora una volta, dipende dal sito web.

Escludendo gli attacchi di esaurimento delle risorse dall'equazione, non c'è motivo per cui dovresti scadere quei link.

Detto questo, dovresti pensare a come il 99% degli utenti utilizzerà il tuo sito e ottimizzerà per quello. Sarà raro che qualcuno trovi un link di attivazione di 18 mesi nella loro posta in arrivo E ricordi il tuo sito E lo trovi ancora utile E clicca su quel link.

Con i link di attivazione o i codici che durano per sempre, devi tenerli per sempre. Se hai un sito popolare che potrebbe contenere molte righe nel tuo DB.

Qual è lo scenario peggiore in caso di scadenza di tali collegamenti dopo 10 giorni e devono fare nuovamente clic su "Crea account"?

A proposito, bloccare l'attivazione per un utente B perché l'utente A ha già usato il suo indirizzo e-mail (erroneamente o maliziosamente) è un'esperienza molto scarsa. Non si tratta di chi arriva prima, si tratta di chi possiede effettivamente l'account di posta elettronica.

Sono d'accordo con questa risposta (+1). La maggior parte dei siti deve avere una funzionalità di invia di nuovo la mail di verifica perché l'email originale può essere persa in rotta o bloccata da un filtro antispam. Ciò significa che, contrariamente alla risposta più ottimizzata , nessuno può bloccare le mie email perché posso sempre inviare nuovamente la verifica email al mio indirizzo Pertanto, l'unica vera ragione per cui i link di verifica scadono è risorse di archiviazione : vogliamo rimuovere account non verificati (collegamenti) per evitare che lo storage aumenti indefinitamente o rallenti. Quindi abbiamo bisogno di un modo ragionevole per rimuovere account non verificati 'scaduti' (diciamo 48 ore dall'ultima email di verifica inviata).