我正在为两种不同类型的用户构建一个Web应用程序,每个用户都有不同的注册表单。我可以拆分这些表格,并在表格验证后发送验证电子邮件。
但是我希望有一个通用的小表单,用户输入他/她的电子邮件地址和用户类型。然后,服务器发送带有链接的验证电子邮件,以进一步完成配置文件,具体取决于所选的用户类型。
现在我的问题是:我应该在小型注册表格中加入密码字段吗?我以前在许多网站上都看过它,但我不知道为什么要包含它。我的计划是让用户在配置文件完成时选择他/她的密码。在他/她完成配置文件之前,不会存储关于用户的任何内容(我会安全地使用时间戳在网址中散列电子邮件地址)。
答案 0 :(得分:1)
一般情况下,开发人员会在注册时询问包括密码在内的所有详细信息,并允许他们使用相同的密码登录。但是,未经验证的用户存在开放风险,可以访问应用程序的全部或部分功能。有时应用程序还提供24-72小时的时间框架来激活用户帐户,在此期间用户可以访问帐户但有一些限制。
对于敏感应用程序,一旦用户验证电子邮件地址,您就可以要求输入密码。因此,您确信已经过验证的用户。
如果您提供的功能是在未经验证的情况下访问用户帐户,请确保未经验证的帐户用户可以根据您的应用程序上下文访问具有限制的帐户。