Accedi a un utente o meno dopo aver verificato l'indirizzo email?

1

Quindi, in uno scenario tipico di app web, al nuovo utente viene inviata una sorta di email con un link token time sensitive che, una volta fatto clic, "attiva" il proprio account o "verifica" il proprio indirizzo email.

Domanda:

Noi o non anche firmiamo quell'utente in (imposta il token al portatore, invia il cookie auth / session) nel momento in cui li verifichiamo tramite il link univoco?

Per chiarezza: supponendo, nessuna sessione precedente nel browser in cui si fa clic sul collegamento di attivazione:

  • Se fa crea una sessione / firma l'utente, l'utente è libero di tornare alla home page e in tutta l'app e non è necessario inserire il nome utente / password.
  • Se noi non creiamo una sessione / firmiamo l'utente, il loro account è ancora attivo (o e-mail verificato) ma qualsiasi tentativo di navigare nell'app presenta il modulo di login e la continuazione richiede un nome utente e password.
posta cottsak 02.09.2016 - 08:24
fonte

2 risposte

1

In termini di tecnologia, se l'account è qualcosa di più di un indirizzo email convalidato, ha un valore patrimoniale maggiore rispetto all'email contenente il token di attivazione (ad esempio potrebbe fornire l'accesso per richiedere credito o esporre informazioni supplementari acquisite durante la registrazione, possibilità di inviare e-mail da un indirizzo). Dal momento che non è possibile garantire l'integrità della consegna delle e-mail di conferma della registrazione, direi che è necessario chiedere all'utente di effettuare il login, il che dimostra che si tratta dell'identità registrata. Ovviamente questo ha un valore molto piccolo di offrire anche una reimpostazione della password via e-mail.

Un'ulteriore considerazione è che incoraggi l'utente a ripetere il processo di accesso, rafforzando la cosa difficile da indovinare che è spesso difficile da ricordare.

Il lato negativo è che si tratta di un inconveniente per gli utenti.

    
risposta data 02.09.2016 - 14:12
fonte
1

Penso che dipenda dall'applicazione. Sono stato coinvolto nello sviluppo di molte applicazioni (web) e il modo in cui gestisci login, logout, attivazione e reimpostazione della password è rivisto per applicazione. Se si desidera rendere la registrazione il più semplice possibile, creare una sessione all'attivazione. Quindi potresti voler mostrare un messaggio che conferma l'attivazione dell'account.

D'altra parte, alcuni client di posta (Outlook per Android), proxy e firewall seguono i collegamenti in una mail. Se si consente all'utente di accedere direttamente, l'attivazione e l'accesso potrebbero essere avviati senza che gli utenti ne siano a conoscenza. In un momento successivo, quando gli utenti decidono di attivare l'account, il link non è più valido. Puoi sistemarlo in molti modi.

Personalmente preferisco la prima opzione, l'attivazione e il login in una volta.

Dal punto di vista della sicurezza, non sono sicuro che importi molto. Naturalmente chiunque abbia il link può accedere all'account, ma a quel punto l'account è ancora vuoto. Tutto dipende dal caso d'uso.

    
risposta data 02.09.2016 - 14:11
fonte

Leggi altre domande sui tag