Razones de referencia dadas en esta pregunta
Devise no permite el inicio de sesión inmediato de un usuario que ha hecho clic en su correo electrónico de confirmación, la idea es que tal vez un usuario malintencionado tenga acceso a su correo electrónico o que haya escrito mal su dirección de correo electrónico.
Si un usuario tiene acceso al correo electrónico que está autorizado para usar la cuenta, ¿qué le impide usar la función de restablecimiento de contraseña para secuestrar completamente la cuenta? ¿Por qué nos molestaríamos en tratar de proteger la cuenta de correo electrónico de un usuario cuando está completamente fuera de nuestro control?
¿Hay alguna forma en que esto realmente haga que el marco de autenticación de Devise sea más seguro y no solo menos conveniente para un usuario malintencionado que ya es poco probable?