3

我正在開發一個需要使用devise/rails進行身份驗證的應用程序,並決定允許用戶無需確認電子郵件即可登錄。然而,經過深入思考這個奇怪的工作流程來考慮:如何讓其他用戶使用已註冊但尚未確認的電子郵件註冊?

如果有人有什麼與我的電子郵件註冊,使用它開始,後來 我決定用我的電子郵件被盜加入應用程序?該人沒有 確認,但我應該保留他的帳戶,阻止或刪除它? (邊注:郵件必須是唯一的)

回答

1

我有一個非常類似的問題,我已經到達(尚未實施)的解決方案是讓用戶選擇他想要的電子郵件,如果沒有其他確認的用戶使用該電子郵件。

一旦註冊,用戶將是無法識別的/非活動的,並且會收到一封確認電子郵件,當它將按照鏈接確認他的電子郵件,而其他人不再使用它。

+0

謝謝,我真的很感謝你的解決方案,但實現它可能有點頭疼,因爲用戶電子郵件必須是唯一的 – mateusmaso 2012-03-16 17:05:03

0

這些網站大多需要用戶向你發送電子郵件的鏈接以驗證您的郵件。只有事後才能創建一個帳戶。這樣可以輕鬆迴避有人試圖竊取別人的電子郵件的問題:除非他們可以登錄到您的電子郵件帳戶,否則他們根本無法登錄。

3

作爲應用程序的設計者,您是在控制之下。你可以處理你想要的情況。

我不確定Facebook如何處理'未經證實'的帳戶創作。我想他們允許註冊的人檢查他們的電子郵件,並在一段時間內點擊確認鏈接 - 在此之後,該電子郵件可供其他用戶使用。這對我來說很有意義,因爲這可以防止人們將垃圾郵件發送到網站,並有效阻止合法用戶的註冊。如果您永遠允許未經確認的帳戶坐下並「用盡」電子郵件,則可能會遇到以下情況:

惡意用戶使用虛假電子郵件創建數千次「虛假」帳戶註冊嘗試。這些電子郵件坐下來等待永久確認,但永遠不會因爲它們不存在(尚未)而成爲「正在使用」的電子郵件。一段時間後,合法用戶恰好創建了一個使用GMail的電子郵件帳戶,或者恰好匹配惡意用戶早先提交的「僞造」電子郵件中的一個。此合法用戶因此無法將您的電子郵件註冊到您的服務中,因爲惡意用戶的'電子郵件被阻止'此地址。

我的個人意見是爲註冊人提供一定的時間來確認他們的地址是否合法,如果他們從未在該時間範圍內確認,則放棄創建帳戶的嘗試。

0

您有「重發確認電子郵件」操作(您應該)或「忘記密碼」操作(您應該)?只要我有權訪問我的電子郵件,我都可以用我的電子郵件地址回收帳戶。

還要考慮創建帳戶的用戶的情況,忘記它並使用相同的電子郵件地址創建另一個帳戶。

相關問題