问激活/注册/密码的最佳实践是什么?在与nonce的电子邮件中重置链接。

EN

应用程序发送电子邮件来验证用户帐户或重置密码。我相信以下是它应该的方式，我要求引用和实现。

如果应用程序必须在电子邮件中发送链接以验证用户的地址，根据我的看法，链接和应用程序对链接的处理应该具有以下特点：

1. 该链接在请求URI (http://host/path?nonce)中包含一个纳塞。
2. 在链接(GET)之后，用户将看到一个表单，可选地使用nonce。
3. 用户确认输入(POST)。
4. 服务器接收到请求并且

• 检查输入参数，
• 执行更改，
• 并使现在的人无效。

这应该是正确的每一个HTTP RFC关于安全和幂等方法。

问题是，这个过程涉及一个额外的页面或用户操作(第3项)，许多人认为这是多余的(如果不是无用的)。我在向同行和客户展示这种方法时遇到了问题，所以我要求一个更广泛的技术小组对此提供意见。我反对跳过POST步骤的唯一理由是可能从浏览器预加载链接。

• 是否有关于这个主题的参考资料可以更好地解释这个想法，甚至说服非技术人员(来自期刊、博客、.的最佳实践)？
• 是否有实施这种方法的参考站点(最好是受欢迎的，并且有许多用户)？
• 如果没有，是否有记录在案的理由或类似的替代方案？

谢谢,

卡里姆

细节豁免

我的主要部分是简短的，但为了减少对我有意遗漏的细节的过多讨论，我要补充几个假设：

• 电子邮件的内容不是这个讨论的一部分。用户知道她必须单击该链接才能执行该操作。如果用户不作出反应，就不会发生任何事情，这也是众所周知的。
• 我们不需要说明我们为什么要给用户发送邮件，也不需要说明通信策略。我们假设用户希望收到电子邮件。
• nonce具有过期时间戳，并且与收件人电子邮件地址直接关联以减少重复。

Notes

有了OpenID等，普通的web应用程序就不再需要实现标准的用户帐户管理(密码、电子邮件.)，但仍然有一些客户想要“自己的用户”

奇怪的是，我在这里还没有找到令人满意的问题和答案。到目前为止，我发现的是：

• 唐恩的回答
• 托马斯的问题--