Email 通过电子邮件验证电子邮件地址后自动登录

当用户成功验证其电子邮件地址时，我是否可以让他们自动登录

我认为下面的原因是这样的：

• 链接是一个随机散列
• 用户已经因为必须验证而感到恼火了
• 我会信任任何有权访问电子邮件收件箱的人，因为你可以重置密码
• 当然，用户只能验证（因此自动登录）一次

---

我这样问是因为发送一个自动让你登录的链接会让我觉得我遗漏了什么。

是的，我认为你应该自动让他们登录。如果他们必须验证他们的电子邮件，然后再次登录，这将更加令人恼火。那么核查的目的是什么呢？如果验证成功，则表示您已经信任他们，请登录他们。

是，您可以。这很合理。正如您所说，只要对给定生成的URL只允许一次

略带离题的漫谈：

---

尽管我对这种方法有点偏见，因为我碰巧认为基于电子邮件的登录（即发送到电子邮件的生成的登录令牌）是防止钓鱼的“更好”方法之一，因为它让用户甚至不需要知道自己站点的密码（他们只需要转到它并请求“登录”令牌）. 无论如何，那是另一回事。

最好至少向他们索要电子邮件验证的密码。这样，您实际上可以验证电子邮件地址是否属于该用户

如果您自动登录，您只需验证电子邮件地址是否存在，以及该电子邮件地址所属的用户是否希望访问该帐户

---

关于您的第三点：您希望只有在验证了该地址确实属于该用户（您可以在验证过程中询问密码）后，才信任有权访问该地址的人。

我不确定是否理解基于电子邮件的登录，用户每次登录都必须打开一封电子邮件吗？@Gipsy:是的，这是我几年前想到的一个单独的方案。是的，您需要访问该站点并请求登录“令牌”，该令牌将发送到个人帐户的一次性链接，他们将单击该链接登录。这有多实际值得商榷，我自己也从来没有这样做过，但这是一些网站遭受的“网络钓鱼”问题的一般解决方案。这在这里不是特别相关；因此，我称之为离题漫谈的原因是：）好的，明白了。也许可以将其与“保持登录”功能结合起来？我知道，如果用户输入错误的电子邮件地址，输入错误的地址的所有者可以登录并查看详细信息，如全名和地址。这个答案应该更明确：在确认其电子邮件地址后，强制用户使用密码登录总是最安全的，否则，发送到输入错误的电子邮件地址的确认电子邮件的收件人也可以访问该帐户。