Il motivo per cui i link di attivazione per l'attivazione di un account sono scaduti, è perché l'account risultante è memorizzato nel database per un periodo limitato.
Diciamo che qualcuno registra un account, ma inserisce un'e-mail non valida. Ora hai un account spazzatura inattivo che gira nel database senza alcun motivo apparente.
Nei casi in cui il collegamento stesso contiene tutte le informazioni per eseguire l'azione, ad esempio un collegamento crittografato contenente tutte le informazioni immesse nel modulo di registrazione o un processo di registrazione in due fasi in cui l'utente scrive per prima cosa il proprio E-mail, quindi verificarlo e quindi completare l'iscrizione con una e-mail pre-compilata, quelle soluzioni possono utilizzare collegamenti con validità illimitata.
Per reimpostare la password, i collegamenti sono di solito limitati nel tempo per motivi di sicurezza, in quanto il token può perdere o essere compromesso se lasciato valido troppo a lungo. Per motivi di greylisting e motivi di consegna per e-mail, personalmente raccomando una validità di 72 ore per una e-mail inviata (dove non si sa se è stata consegnata correttamente o meno, ad esempio se il proprio host web ha uno "smarthost" bisogno di parlare con), e un periodo di validità di 1-6 ore per una mail in cui è possibile confermare la consegna (ad esempio, dove si è in controllo diretto del server di posta che parla direttamente al server di posta del destinatario).