s.w*_*dit 4 login registration autologin
注册后自动登录用户安全吗?
用户填写注册表格,一些信息消息发送到他的邮箱,然后:
要么
我觉得自动登录不够安全,但是无法解决!
他们应该需要登录。此外,确认电子邮件不应包含其密码。如果他们向您提供了错误的电子邮件地址并且您自动登录了他们,那么其他人现在就可以访问他们的帐户。即使您让他们输入两次电子邮件地址也是如此。有时人们会连续犯同样的错误两次。
如果他们只是填写了登录信息,而您不必担心确认电子邮件地址是否合法,那么直接登录就不会有问题。
但是,您向创建伪造帐户的人员/机器人开放(至少没有合法电子邮件地址的人员)。如果您对此有所担心(不确定它是面向公众的应用程序还是Intranet等),则至少应通过发送带有可追溯的GUID或某些标识符的链接来验证电子邮件地址。然后,可以在确认后让他们登录。
您也可以将其绑定到他们的StackExchange / Facebook / OpenID / etc帐户,而不用让用户填写另一种表格并担心维护所有这些信息。