如果在注册帐户时向用户发送临时密码,我是否需要验证用户的电子邮件
Do I need to verifiy a users email if they are sent a temporary password when an account is registered
我有一个用户可以使用 MVC5 Identity 登录的网站。 (虽然这个问题并不特定于那个技术)
对于要在本网站注册的用户,我们必须通过 phone 与他们交谈,并且客户经理必须通过注册表为用户设置 "unverified" 帐户。
在此之后,用户会收到一封电子邮件验证 link,以及生成的登录密码。您通常会在登录前填写的注册已完成 post-login.
所以我想知道在这种情况下我是否可以简单地将用户首次登录视为电子邮件验证,因为他们获取密码的唯一方式是从电子邮件中获取密码。
有没有什么方法可以利用它并在没有电子邮件的情况下打开任何安全 holes/allow 验证?
编辑:
想要添加的密码是临时的(在固定期限后过期),用户将能够进入密码重置表单,如果他们不及时这样做,可以通过电子邮件发送新的密码。如果用户给了我们错误的电子邮件,我想大多数人会 phone 我们。
我不认为这有任何利用或漏洞,您认为这可以用作电子邮件验证是正确的。尝试一下,看看它是如何工作的。也许在输入临时密码后,系统会提示用户输入他们选择的新密码。
我有一个用户可以使用 MVC5 Identity 登录的网站。 (虽然这个问题并不特定于那个技术)
对于要在本网站注册的用户,我们必须通过 phone 与他们交谈,并且客户经理必须通过注册表为用户设置 "unverified" 帐户。
在此之后,用户会收到一封电子邮件验证 link,以及生成的登录密码。您通常会在登录前填写的注册已完成 post-login.
所以我想知道在这种情况下我是否可以简单地将用户首次登录视为电子邮件验证,因为他们获取密码的唯一方式是从电子邮件中获取密码。
有没有什么方法可以利用它并在没有电子邮件的情况下打开任何安全 holes/allow 验证?
编辑: 想要添加的密码是临时的(在固定期限后过期),用户将能够进入密码重置表单,如果他们不及时这样做,可以通过电子邮件发送新的密码。如果用户给了我们错误的电子邮件,我想大多数人会 phone 我们。
我不认为这有任何利用或漏洞,您认为这可以用作电子邮件验证是正确的。尝试一下,看看它是如何工作的。也许在输入临时密码后,系统会提示用户输入他们选择的新密码。