пароль сохраняется в базу + поле activated ставится на false, и письмо отправляется на почту (jwt токен используется).
Это все работает в идеальный условиях, то есть если пользователь укажет свою почту, но что делать если пользователь укажет не свою почту - аккаунт зарегается (войти не сможет. т.к почта не подтверждена)
И если реальный владелец почты хочет зарегаться то он не сможет тк акк с его почтой уже существует
Какие есть способы этого избежать?
Сейчас есть идея удалять пользователя через час после регистрации если не подтверждена почта
Хозяин почты можешь написать в ТП или восстановить пароль — у него же есть почта
Ну восстановит он пароль, в акке будут не его данные а "злоумышленника "
Обсуждают сегодня