我正在为两种不同类型的用户构建一个Web应用程序,每个用户都有不同的注册表单 . 我可以拆分这些表格并在表格验证后发送验证电子邮件 .
但是我希望有一个通用的小表单,用户输入他/她的电子邮件地址和用户类型 . 然后,服务器发送带有链接的验证电子邮件,以进一步完成配置文件,具体取决于所选的用户类型 .
现在我的问题是:我应该在小型注册表中加入密码字段吗?我以前在许多网站上都看过它,但我不知道为什么要包含它 . 我的计划是让用户在配置文件完成时选择他/她的密码 . 在他/她完成配置文件之前,不会存储关于用户的任何内容(我会安全地使用时间戳在网址中散列电子邮件地址) .
1 回答
通常,开发人员在注册时询问包括密码在内的所有详细信息,并允许使用相同的密码登录 . 但是,未经验证的用户存在开放风险,可以访问应用程序的全部或部分功能 . 有时应用程序还提供24-72小时的时间范围来激活用户帐户,在此期间用户可以访问帐户但有一些限制 .
对于敏感应用程序, you can ask for the password once the user verify the email address. 因此,您确信已验证的用户 .
如果您提供的功能是在未经验证的情况下访问用户帐户,请确保未验证的帐户用户可以根据您的应用程序上下文访问具有限制的帐户 .