我正在开发一个需要使用devise / rails进行身份验证的应用程序,并且决定允许用户在没有电子邮件确认的情况下登录。然而,经过深思熟虑后,我想到了这个奇怪的工作流程:
如果有人在我的电子邮件中注册,开始使用它以及稍后会怎么样 我决定用我偷来的电子邮件加入应用程序?那家伙没有 确认,但是我应该保留他的帐户,阻止它还是删除它? (旁注:电子邮件必须是唯一的)
答案 0 :(得分:3)
作为应用程序的设计者,您处于控制之中。你可以按照自己的意愿处理这种情况。
我不确定facebook如何处理“未经证实”的帐户创建。我想他们允许注册的人查看他们的电子邮件并在一定时间内点击确认链接 - 之后该电子邮件可供其他用户使用。这对我来说很有意义,因为这可以防止人们向网站发送垃圾邮件并有效地“阻止”合法用户注册电子邮件。如果你永远允许未经证实的帐户坐下来“用完”电子邮件,你可能会遇到以下情况:
恶意用户使用虚假电子邮件创建了数千次“假冒”帐户注册尝试。这些电子邮件静坐等待确认,但永远不会因为它们不存在(尚未),充当“使用中”的电子邮件。一段时间之后,合法用户碰巧使用GMail创建了一个电子邮件帐户,或者碰巧匹配恶意用户之前提交的“虚假”电子邮件之一的电子邮件帐户。然后,这个合法用户无法在您的服务中注册他或她的电子邮件,因为恶意用户的“电子邮件已被阻止”此地址。
我个人的意见是给注册人一定的时间来确认他们的地址是合法的,如果他们从未在该时间范围内确认,只需放弃帐户创建尝试。
答案 1 :(得分:1)
我遇到了一个非常类似的问题,我到达的解决方案(尚未实施)是让用户选择他想要的电子邮件,如果没有其他确认用户使用该电子邮件。
一旦注册,用户将无法获得/非活动,并将收到确认电子邮件,当它将按照链接确认他的电子邮件,其他人不能再使用它。
答案 2 :(得分:0)
这些网站中的大多数都要求您通过向您发送电子邮件链接来验证您的电子邮件。之后才能创建帐户。这方便地回避了有人试图窃取别人的电子邮件的问题:除非他们可以登录您的电子邮件帐户,否则他们根本无法。
答案 3 :(得分:0)
您是否有“重新发送确认电子邮件”操作(应该)或“忘记密码”操作(您应该)?两者都可以通过我的电子邮件地址收回帐户,因为我只能访问我的电子邮件。
另请考虑创建帐户的用户的情况,忘记帐户并使用相同的电子邮件地址创建另一个帐户。