Quindi, in uno scenario tipico di app web, al nuovo utente viene inviata una sorta di email con un link token time sensitive che, una volta fatto clic, "attiva" il proprio account o "verifica" il proprio indirizzo email.
Domanda:
Noi o non anche firmiamo quell'utente in (imposta il token al portatore, invia il cookie auth / session) nel momento in cui li verifichiamo tramite il link univoco?
Per chiarezza: supponendo, nessuna sessione precedente nel browser in cui si fa clic sul collegamento di attivazione:
- Se fa crea una sessione / firma l'utente, l'utente è libero di tornare alla home page e in tutta l'app e non è necessario inserire il nome utente / password.
- Se noi non creiamo una sessione / firmiamo l'utente, il loro account è ancora attivo (o e-mail verificato) ma qualsiasi tentativo di navigare nell'app presenta il modulo di login e la continuazione richiede un nome utente e password.