¿Inicia sesión en un usuario o no después de verificar la dirección de correo electrónico?

1

Por lo tanto, en un escenario de aplicación web típico, al nuevo usuario se le envía un correo electrónico con un enlace de token sensible al tiempo que, al hacer clic, "activará" su cuenta o "verificará" su dirección de correo electrónico.

Pregunta:

¿Nosotros, o no, también firmamos a ese usuario (configuramos el token del portador; enviamos autenticación / sesión de cookies) en el momento en que los verificamos a través del enlace único?

Para mayor claridad: suponiendo que no haya sesión previa en el navegador donde se hace clic en el enlace de activación:

  • Si hacemos creamos una sesión / firmamos al usuario, entonces el usuario tiene la libertad de navegar de nuevo a la página de inicio y a lo largo de la aplicación y no es necesario que ingresen su nombre de usuario / contraseña.
  • Si no creamos una sesión / firmamos al usuario, entonces su cuenta todavía está activada (o se verifica por correo electrónico), pero cualquier intento de navegar en la aplicación presenta el formulario de inicio de sesión y la continuación requiere un nombre de usuario y contraseña.
pregunta cottsak 02.09.2016 - 08:24
fuente

2 respuestas

1

En cuanto a la tecnología, si la cuenta es algo más que una dirección de correo electrónico validada, tiene un valor de activo mayor que el correo electrónico que contiene el token de activación (por ejemplo, puede proporcionar acceso para solicitar crédito o exponer información complementaria capturada). durante el registro, posibilidad de enviar correos electrónicos desde una dirección). Como realmente no se puede asegurar la integridad de la entrega del correo electrónico de confirmación de registro, diría que debe solicitar al usuario que inicie sesión, lo que demuestra que son la identidad registrada. Por supuesto, esto tiene muy poco valor para ti, también ofrece un restablecimiento de contraseña por correo electrónico.

Otra consideración es que alientas al usuario a que repita el proceso de inicio de sesión, lo que refuerza lo difícil de adivinar, que a menudo es difícil de recordar.

El inconveniente es que es un inconveniente para los usuarios.

    
respondido por el symcbean 02.09.2016 - 14:12
fuente
1

Creo que depende de la aplicación. He estado involucrado en el desarrollo de muchas aplicaciones (web) y la forma en que lidia con el inicio de sesión, cierre de sesión, activación y restablecimiento de contraseña se revisa por aplicación. Si desea que el registro sea lo más fácil posible, cree una sesión en la activación. Entonces es posible que desee mostrar un mensaje que confirme la activación de la cuenta.

Por otro lado, algunos clientes de correo (Outlook para Android), proxies y firewalls siguen los enlaces en un correo. Si permite que el usuario inicie sesión directamente, la activación y el inicio de sesión podrían activarse sin el conocimiento de los usuarios. En algún momento posterior, cuando los usuarios deciden activar la cuenta, el enlace ya no es válido. Puedes arreglar esto de muchas maneras.

Personalmente prefiero la primera opción, la activación y el inicio de sesión a la vez.

Desde una perspectiva de seguridad, no estoy seguro de que importe mucho. Por supuesto, cualquier persona con el enlace puede acceder a la cuenta, pero en ese momento la cuenta todavía está vacía. Todo depende del caso de uso.

    
respondido por el Yorick de Wid 02.09.2016 - 14:11
fuente

Lea otras preguntas en las etiquetas