Poiché si tratta di sicurezza, direi a prescindere da come lo fai, la sicurezza si riduce a quanti caratteri sono adatti da usare come "codice di verifica".
Tuttavia, utilizzando un singolo collegamento di attivazione diretta che NON è un protocollo personalizzato registrato come nel commento sopra, c'è il rischio che un utente inconsapevole clicchi questi link e attivi inavvertitamente un account che l'utente non ha registrato.
Tuttavia, dal punto di vista dell'usabilità: tutti non hanno il proprio account e-mail legato al proprio telefono, quindi è necessario utilizzare un'alternativa.
Quindi il mio suggerimento qui è:
Hai 2 alternative, in cui la prima alternativa è un link come:
appcustom: // attivare / 39734962
Ma fornisci anche un mezzo secondario di attivazione, che è come:
"Se ricevi la tua email su un altro dispositivo su cui è installata l'app, premi" Usa codice "e inserisci 39734962 come codice."
Nell'app, è necessario verificare che il codice di attivazione corrisponda allo stesso telefono che ha avviato l'attivazione.
Ad esempio: Primo utente registrati con e-mail. Il server invia un token univoco all'app, che viene salvato nella memoria del telefono.
Sul server, memorizzi email, token e codice di attivazione.
Dopo l'attivazione, l'utente inserisce il codice o fa clic sul collegamento del gestore di protocollo personalizzato.
La tua app quindi invia al server: Email, il token precedentemente salvato e quindi codice. Il server controlla tutti e 3 i campi corrispondono.
Ciò significherebbe che se l'utente si registra, quindi elimina l'app dal telefono e quindi reinstalla l'app, l'utente non sarebbe in grado di attivarsi utilizzando il codice di attivazione ricevuto dall'utente. L'utente dovrebbe richiedere un nuovo codice di attivazione.
Una buona idea è quella di dare il via alla registrazione da questo punto, quindi quando l'utente ha digitato con successo il codice di attivazione o fatto clic sul link, l'utente viene indirizzato al modulo di registrazione per compilare il resto dei dettagli e dove l'e-mail il campo è precompilato e non è possibile cambiare (ovviamente è anche necessario verificare sul lato server che il campo email non sia stato modificato).
Usando tale schema, si evita che gli indirizzi e-mail vengano bloccati a causa di utenti malintenzionati o inconsapevoli.
Esempio:
1: l'utente riempie l'email e premere invia.
2: il telefono riceve il token dal server. Telefono salvato e-mail e token in memoria.
3: l'utente fa clic sul collegamento del protocollo nella posta o inserisce manualmente il codice nell'app. L'app invia email, token e codice al server. Il server convalida email, token e codice di attivazione è corretto.
4: L'utente è ora portato al modulo di registrazione dove gli viene chiesto di compilare il resto dei dettagli, come nome utente, selezionare una nuova password da utilizzare con account, nome, cognome, ecc.
Ovviamente, il link e il codice nell'e-mail devono rimanere validi fino a quando la registrazione non viene completata, quindi se l'utente interrompe accidentalmente il processo (ad esempio esce dalla copertura di rete), sarà in grado di continuare in un secondo momento.
Tuttavia, è una buona idea espirare i codici di attivazione e i token in base al tempo, ad esempio 48 ore è un buon momento.