Cuando los usuarios activan el cambio de correo electrónico, enviamos un enlace a su nueva dirección de correo electrónico.
Si el usuario sigue el enlace, ¿deberíamos continuar con el cambio de correo electrónico después de la autorización (el inicio de sesión en el sitio), o podemos cambiar el correo electrónico como en el flujo de restablecimiento de contraseña?
Probablemente tendríamos que agregar un botón de CTA (tal vez reCaptcha) para evitar el rastro de correos electrónicos.
¿Qué otras implicaciones de seguridad podrían existir en el escenario de no autenticación?