Quindi presumendo un sistema di autenticazione nome utente / password (non un SSO) se si registra un nuovo utente, qual è lo svantaggio di registrarli prima di verificare il proprio account via email?
Supponiamo che registrandoli non possano accedere a contenuti sensibili o alla possibilità di fare qualcosa come addebitare una carta di credito.
La maggior parte dei software che ho incontrato lo fa. "clic registrati" - > "Compila modulo" - > "invia email" - > "attiva account" (a volte consente l'accesso simultaneo) - > login.
quello che sto cercando di capire è se c'è un buco di sicurezza da fondamentalmente prendendo un modulo di login (mi hai dato un nome utente / password) "clicca registrati" - > (l'account è stato creato e tu hai effettuato l'accesso); o "fai clic su registrati" - > "Compila modulo" - > "conferma e accedi".
Ovviamente ci sono vantaggi / svantaggi dell'esperienza utente, ma ho cercato di capire se ci sono implicazioni sulla sicurezza di fare questo. L'unica implicazione sulla sicurezza che riesco a pensare sono gli account SPAM, in cui qualcuno crea automaticamente gli utenti.
Sto solo cercando di assicurarmi che non stia commettendo un errore come non usare un nonce in un link di reimpostazione password (non correlato). Come forse c'è qualcosa di relativo alla sicurezza che non so che non lo so.