Session 在用户创建帐户后设置会话变量可以吗，还是让他们登录？

新用户创建帐户后，我可以设置一个

会话['id']

，还是让他们登录进行设置

---

我想设置会话，以便他们可以在等待电子邮件验证到达之前开始设置应用程序。我是否缺少任何安全问题？

我说不。我想向用户的帐户发送电子邮件，以验证电子邮件地址是否有效。如果用户在新帐户中输入凭据，然后通过单击电子邮件正文中的链接验证该电子邮件帐户，我认为没有必要让用户登录

电子邮件正文中的链接包含一个带有键的GET变量，该键会自动让用户第一次登录。您可以使密钥过期，以便用户只能使用密钥登录一次。随后使用该键登录的尝试应转到通常的登录屏幕

只有在通过单击电子邮件中的链接发出的http请求包含注册时设置的cookie时，才可以有条件地跳过登录，从而使登录更加安全

---

强制用户登录完成了什么？当用户忘记密码时，您会向其电子邮件帐户发送带有临时密码的“忘记密码”重置消息。因此，电子邮件是真正的身份验证，而不是登录凭据。

感谢您的回答-我希望在他们验证电子邮件之前登录他们的原因是，他们可以在电子邮件到达之前开始设置我的应用程序。在这里设置会话是否有我遗漏的安全漏洞？电子邮件对营销非常重要。根据你的应用程序，我想说电子邮件比完成注册过程更重要。如果你有电子邮件，你可以随时提醒他们完成注册，反之亦然。