Cuando un usuario intenta registrarse con un correo electrónico no activado otra vez, ¿debo decirle al usuario que no se han activado los correos electrónicos?

Nunca debe revelar en el sitio web, si se ha utilizado una dirección de correo electrónico específica para registrarse. Esto permite un ataque de enumeración de usuarios y puede ser un problema de privacidad para sus usuarios.

En su lugar, en su caso, envíe un correo electrónico informativo a la dirección en cuestión.

Es posible que el usuario no haya hecho clic en el enlace de activación en el primer correo electrónico por un motivo. Tal vez el correo electrónico no le llegó. Tal vez se quedó atascado en un filtro de spam. Tal vez fue borrado accidentalmente. Si un usuario solicita un nuevo correo electrónico de activación, es probable que sea porque quieren un nuevo correo electrónico de activación. Entonces dales uno.

Sin embargo, no debes tener dos tokens de activación activos para el mismo correo electrónico al mismo tiempo. Antes de enviar el nuevo correo electrónico, desactive todos los tokens de activación antiguos para ese correo electrónico.

También, como Marcel señala , dependiendo de las necesidades de privacidad de los usuarios, es posible que desee considerar la enumeración de usuarios. ataca aquí.

Existe la posibilidad de que alguien haya tratado de registrarse utilizando la dirección de correo electrónico de otra persona. En tal caso, toda la otra información que incluya posiblemente el nombre de usuario es incorrecta.

Eliminaré la antigua cuenta no activada durante este proceso, o automáticamente si no se ha activado en un tiempo razonable. Si la base de datos no requiere direcciones de correo electrónico únicas, eliminaría las cuentas adicionales anteriores al menos cuando finalmente se active otra cuenta.