對於我們開發的許多網站,我們驗證用戶的電子郵件地址。典型地,所述工作流程是這樣的:從電子郵件中自動登錄用戶是不是一個好主意?
- 用戶註冊了位點(活化電子郵件與鏈路發送到激活)
- 用戶驗證的電子郵件地址(通過點擊上述鏈接)
- 用戶必須登錄到網站上以使用它(假設他們還沒有登錄)
客戶經常抱怨這個過程很笨重,有點混亂,我同意。所提出的解決方案是在第2步
後,我不知道這是否重要刪除步驟3中,並自動記錄用戶(因此問題!),但我一直的自動登錄用戶警惕喜歡這個。在實施建議的解決方案之前,我應該考慮哪些額外的安全風
這也適用於像密碼重置,用戶可以自動登錄,然後做出更改其密碼的情況。
對於這個問題起見,我們假設驗證電子郵件是一個硬性要求。我知道有些情況下這不是必要的,但讓我們來談談那些地方。
如何使用OpenID? – NullUserException 2010-08-27 17:24:15
只要有可能,我們允許用戶使用其他提供商(OAuth/OpenID),但對於我們典型的受衆(非技術人員),我們並不需要它。我們還發現,由於隱私問題,我們的用戶謹慎以這種方式將他們的帳戶鏈接在一起。 – notJim 2010-08-27 17:38:36