Riferimenti ai motivi forniti in questa domanda
Devise non consente l'accesso immediato di un utente che ha fatto clic sulla sua e-mail di conferma, l'idea è che forse un utente malintenzionato ha accesso alla sua e-mail o che ha digitato male il suo indirizzo e-mail.
Se un utente ha accesso all'e-mail che è autorizzato a utilizzare l'account, cosa impedisce loro di utilizzare la funzione di reimpostazione della password per dirottare completamente l'account? Perché dovremmo preoccuparci di cercare di proteggere l'account e-mail di un utente quando è completamente fuori dal nostro controllo?
Esistono modi in cui ciò rende effettivamente più sicuro il framework di autenticazione di Devise e non solo meno conveniente per un utente malintenzionato già improbabile?