>处理以下情况的标准/最佳方法是什么?
用户输入电子邮件地址 user1@example.com 以发送网站上活动的邀请。收到邀请的人已经在网站上拥有一个帐户,但已注册 user2@example.com 作为其电子邮件地址。
如何验证用户是否为正确的人,同时让用户使用其实际帐户登录?我可以使用邀请 ID 将该帐户与该邀请绑定,但是是什么阻止了任何有权访问该 ID 的人登录?
这取决于您的信任程度。 您有以下几种选择:
- 信任发送邀请的人。 任何使用有效邀请响应 URL 访问的人都可以使用他们选择的电子邮件进行注册,无论邀请是谁。
- 拒绝收件人和注册用户电子邮件地址不匹配的邀请响应。
- 仅允许用户为已注册的人员发送邀请,并让他们在系统中选择正确的帐户。