Ogólnie temat wałkowany bardzo często, ale ja robie go pierwszy raz, ustaliłem pewien mechanizm jak to mogłoby wyglądać, po czym poczytalem poradniki, większość była jeszcze pod przestarzałe mysql i mój plan zrobienia tej weryfikacji w mój sposób nie zmienił się.
Wygląda on tak:
1. Użytkownik tworzy konto, konto w bazie ma przypisaną wartość actived = false.
2. w tabeli Verifications tworzy się oczekująca weryfikacja dla użytkownika, do niej jest generowany losowy ID.
3. użytkownik dostaje na email link typu example.com/veryfication?key=x.
4. tym linkiem może potwierdzić konto, wyszuka w bazie po kluczu użytkownika i zmieni mu status na actived = true, jeśli ten już wcześniej tego nie zrobił.
podstrona veryfication przyjmuje jako wartość tylko klucz z bazy (długość min. 30 znaków) i sprawdza czy owa weryfikacja dla kluczu istnieje, jeśli tak wczytuje dane, jest relacja pomiędzy kluczem a użytkownikiem w bazie i przy potwierdzeniu szuka użytkownika po kluczu i zmienia mu owy status.
Teraz pytania:
1. Po weryfikacji dla tego klucza wyświetlać informacji że konto jest już potwierdzone, czy skasować z bazy wpis o weryfikacji i traktować wejście na ten klucz po potwierdzeniu jak jego brak? (back to index.php).
2. Nalezy zabezpieczać się przed tym aby ktoś nie znalazl veryfication key spamując dla linku danymi GET do czasu aż nie trafi na jakiś klucz?
3. W podobny sposób można zrobić opcję "zapomnialem hasla"? Z tą różnicą że owa opcja będzie generować nowy hash.
4. Należy nadać jakiś limit czasu na potwierdzenie?