Sto pensando di utilizzare questo flusso di registrazione per il mio sito:
1) Registri utente immettendo email e password.
2) Inserisci l'email e la password hash nel mio database
3) Poi costruisco un email con il mio url + jwt (contiene e-mail e scade in 1 ora) come parametro.
4) L'utente riceve email e clicca sul link.
5) Link inviato al mio server dove analizzo il parametro e controllo se il jwt è scaduto.
6) Se non è scaduto, prendo l'e-mail e contrassegno l'account come convalidato nel mio database.
Ci sono buchi evidenti in questo approccio che lascerebbe a grandi vulnerabilità?