新用户创建帐户后,我可以设置session['id']还是应该让他们登录设置?
我想设置会话,这样他们就可以在等待电子邮件验证之前开始设置应用程序。是否有我遗漏的安全问题?
我不同意。我喜欢向用户的帐户发送电子邮件,以验证电子邮件地址是否有效。如果用户在新帐户中输入凭据,然后通过单击电子邮件消息正文中的链接验证该电子邮件帐户,我认为没有必要让用户登录。
邮件正文中的链接包含一个带有键的GET变量,该键将在用户第一次登录时自动登录。您可以使密钥过期,这样用户只能使用该密钥登录一次。使用该密钥登录的后续尝试应该路由到通常的登录屏幕。
你可以让它更安全,有条件地跳过登录只有当http请求通过点击电子邮件中的链接包含注册时设置的cookie。
强制用户登录完成了什么?当用户忘记了他的密码,你发送"忘记密码"重置消息与临时密码到他们的电子邮件帐户。因此,电子邮件是真正的身份验证,而不是登录凭据。