Supponiamo che il mio sito abbia bisogno di registrarsi per un account membro con e-mail e che l'e-mail debba essere verificata e attivata. Vieto agli utenti di registrarsi con la stessa email due volte. Quando lo fa, dovrei ricordare all'utente di attivare l'e-mail? Oppure visualizza semplicemente il messaggio "Questa email è stata utilizzata", come se cercassi di registrarti con l'e-mail già attivata?
Non dovresti mai rivelare sul sito web se è stato utilizzato un indirizzo e-mail specifico per la registrazione. Ciò consente un attacco di enumerazione utente e potrebbe essere probabilmente un problema di privacy per i tuoi utenti.
Invece, nel tuo caso, invia una e-mail informativa all'indirizzo in questione.
L'utente potrebbe aver omesso di fare clic sul collegamento di attivazione nella prima e-mail per un motivo. Forse l'e-mail non l'ha raggiunto. Forse è rimasto bloccato in un filtro antispam. Forse è stato cancellato per errore. Se un utente richiede una nuova email di attivazione, è probabilmente perché desidera una nuova email di attivazione. Quindi dagli uno.
Tuttavia, non dovresti avere due token di attivazione attivi per la stessa e-mail allo stesso tempo. Prima di inviare la nuova email, disattiva tutti i vecchi token di attivazione per quella email.
Inoltre, come Marcel sottolinea , a seconda delle esigenze di privacy degli utenti, potresti voler pensare all'enumerazione degli utenti attacca qui.
C'è la possibilità che qualcuno abbia provato a registrarsi utilizzando l'indirizzo email di qualcun altro. In tal caso, tutte le altre informazioni che includono eventualmente il nome utente non sono corrette.
Rimuoverei il precedente account non attivato durante questo processo, o automaticamente se non è stato attivato entro un tempo ragionevole. Se il database non richiede indirizzi email univoci, rimuoverei ex account extra almeno quando verrà attivato un altro account.
Leggi altre domande sui tag validation web-application registration