J'ai une application Web. Je ne souhaite pas conserver les informations de connexion, donc j'utilise la méthode de connexion progressive, y compris google, yahoo, etc.Validation de la clé par e-mail pour l'enregistrement de l'utilisateur
L'utilisateur choisit quelle avenue de connexion (openid, google, yahoo, etc.). Après quelques étapes de redirection et le fournisseur d'identité vérifie que la connexion est réussie, l'utilisateur est accepté. Si mon application voit l'ID pour la première fois, l'utilisateur se verra attribuer un mode d'enregistrement. Cela enverrait à l'utilisateur un email avec la clé de validation chiffrée. L'utilisateur clique sur le lien dans l'e-mail ou copie la clé dans le champ de saisie de la page d'inscription.
Ensuite, je me suis assis pour la riposte et la réflexion. À quoi sert d'envoyer un e-mail à l'utilisateur débutant avec une clé de validation? L'utilisateur n'a-t-il pas déjà démontré sa propriété de l'identifiant en se connectant au service d'identification du fournisseur?
La riposte que je considère est que je ne devrais effectuer une validation de clé par courriel que lorsqu'un utilisateur change ou fournit un nouveau courriel. Je devrais juste considérer un utilisateur de première fois validé une fois connecté avec succès dans un fournisseur d'identification, même pour la première fois, sans besoin d'une validation de clef par email.
Qu'en pensez-vous?