Por lo tanto, suponiendo un sistema de autenticación de nombre de usuario / contraseña (no un SSO) si registra un nuevo usuario, ¿cuál es la desventaja de iniciar sesión antes de verificar su cuenta por correo electrónico?
Supongamos que al iniciar sesión no tendrán acceso a contenido sensible, o la capacidad de hacer algo como cargar una tarjeta de crédito.
La mayoría del software que he encontrado hace. "haga clic en registrarse" - > "rellenar formulario" - > "enviar correo electrónico" - > "activar cuenta" (a veces permite el inicio de sesión simultáneo) - > inicio de sesión.
lo que estoy tratando de averiguar es si hay un agujero de seguridad al tomar un formulario de inicio de sesión (me diste un nombre de usuario / contraseña) "click register" - > (la cuenta se crea y estás conectado); o "haga clic en registrarse" - > "rellenar formulario" - > "confirmar e iniciar sesión".
Obviamente hay ventajas / desventajas en la experiencia del usuario, pero he estado tratando de averiguar si hay implicaciones de seguridad al hacer esto. Las únicas implicaciones de seguridad que se me ocurren son las cuentas de SPAM, que es donde alguien crea usuarios automáticamente.
Solo trato de asegurarme de no cometer ningún error, como no usar un nonce en un enlace de restablecimiento de contraseña (no relacionado). Como tal vez hay algo relacionado con la seguridad que no sé que no sé.