当用户成功验证他们的电子邮件地址时,我可以自动登录吗?
我认为有以下原因:
我在问,因为发送一个自动登录的链接让我觉得我错过了什么。
答案 0 :(得分:6)
如果您至少要求他们提供电子邮件验证密码,那就更好了。这样,您实际上验证了电子邮件地址属于用户。
如果您自动登录,则只需验证该电子邮件地址是否存在以及该电子邮件地址所属的用户是否希望访问该帐户。
关于你的第三点:一旦你确认地址实际上属于用户(你可以通过在验证期间要求输入密码),你希望只信任有权访问该地址的人。
答案 1 :(得分:3)
是的,你可以。这很合理。只要如你所说,你只允许给定生成的URL一次。
稍微偏离主题的漫无边际: 虽然我对此方法略有偏见,因为我碰巧认为基于电子邮件的登录(即生成的登录令牌发送到电子邮件)是防止网络钓鱼的“更好”方法之一,因为它不需要用户甚至知道他们的网站密码(他们只需要去它并请求'登录'令牌)。无论如何,这是另一回事。
答案 2 :(得分:2)
是的我认为您应该自动登录。如果他们必须验证他们的电子邮件然后再次登录,那将更加烦人。那么验证有什么意义呢?如果验证成功,则表示您已经信任它们,请将其登录。