Por lo tanto, en un escenario de aplicación web típico, al nuevo usuario se le envía un correo electrónico con un enlace de token sensible al tiempo que, al hacer clic, "activará" su cuenta o "verificará" su dirección de correo electrónico.
Pregunta:
¿Nosotros, o no, también firmamos a ese usuario (configuramos el token del portador; enviamos autenticación / sesión de cookies) en el momento en que los verificamos a través del enlace único?
Para mayor claridad: suponiendo que no haya sesión previa en el navegador donde se hace clic en el enlace de activación:
- Si hacemos creamos una sesión / firmamos al usuario, entonces el usuario tiene la libertad de navegar de nuevo a la página de inicio y a lo largo de la aplicación y no es necesario que ingresen su nombre de usuario / contraseña.
- Si no creamos una sesión / firmamos al usuario, entonces su cuenta todavía está activada (o se verifica por correo electrónico), pero cualquier intento de navegar en la aplicación presenta el formulario de inicio de sesión y la continuación requiere un nombre de usuario y contraseña.