Dado que se trata de seguridad, diría que independientemente de cómo lo haga, la seguridad se reduce a cuántos caracteres son adecuados para usar como "código de verificación".
Sin embargo, al usar un solo enlace de activación directa que NO es un protocolo personalizado registrado como en el comentario anterior, existe el riesgo de que un usuario inconsciente haga clic en este enlace y active inadvertidamente una cuenta que el usuario no haya registrado.
Sin embargo, desde un punto de vista de usabilidad: todos los usuarios no tienen su cuenta de correo electrónico vinculada a su teléfono, por lo que se debe usar una alternativa.
Así que mi sugerencia aquí es:
Tiene 2 alternativas, donde la primera alternativa es un enlace como:
appcustom: // activar / 39734962
Pero también proporciona un medio secundario de activación, que es como:
"Si recibe su correo electrónico en otro dispositivo en el que está instalada la aplicación, presione" Usar código "e ingrese 39734962 como código".
En la aplicación, debe verificar que el código de activación corresponda al mismo teléfono que inició la activación.
Ej .: Primer registro de usuario con correo electrónico. El servidor envía un token único a la aplicación, que se guarda en la memoria del teléfono.
En el servidor, almacena el correo electrónico, el token y el código de activación.
Tras la activación, el usuario ingresa el código o hace clic en el enlace del controlador de protocolo personalizado.
Luego, la aplicación envía al servidor: Correo electrónico, el token que se guardó anteriormente y luego el código. El servidor comprueba los 3 campos coincidentes.
Esto significaría que si el usuario se registra, luego elimina la aplicación del teléfono y luego la vuelve a instalar, el usuario no podrá activar el código de activación que recibió. El usuario tendría que solicitar un nuevo código de activación.
Una buena idea es iniciar el registro desde este punto, de modo que cuando el usuario haya ingresado con éxito el código de activación o haya hecho clic en el enlace, se lo llevará al formulario de registro para completar el resto de los detalles y dónde se enviará el correo electrónico. el campo está precargado y no es posible cambiarlo (por supuesto, también debe verificar en el lado del servidor que el campo de correo electrónico no haya cambiado).
Al usar dicho esquema, evita que las direcciones de correo electrónico se bloqueen debido a usuarios malintencionados o que no lo saben.
Por ejemplo:
1: el usuario completa el correo electrónico y presiona enviar.
2: el teléfono recibe el token del servidor. El teléfono guardó el correo electrónico y el token en la memoria.
3: El usuario hace clic en el enlace del protocolo en el correo o ingresa el código en la aplicación manualmente. La aplicación envía correo electrónico, token y código al servidor. El servidor valida el correo electrónico, el token y el código de activación son correctos.
4: el usuario pasa ahora al formulario de registro, donde se le pide que complete el resto de los detalles, como nombre de usuario, seleccione una nueva contraseña para usar con la cuenta, nombre, apellido, etc.
Por supuesto, el enlace y el código en el correo electrónico deben permanecer válidos hasta que el registro se complete, por lo que si el usuario cancela el proceso accidentalmente (por ejemplo, se retira de la cobertura de la red), podrá continuar más adelante.
Sin embargo, es una buena idea caducar los códigos de activación y los tokens por tiempo, por ejemplo, 48 horas es un buen momento.