アカウント登録時に後からメールアドレス確認を行うために必要な処理

想定する状況

• アカウント登録時にメールアドレスが必要なサービス
• 確認方法は、確認メールを送信してURL踏ませる一般的なやり方
• 利便性の観点から、これを「登録時に必ず行うのではなく、後からでもいいよ」ってしたい

このような状況で必要となる処理とは何かを考えた時のメモを残しておく。

メールアドレス確認ができない状況とは

まず、アカウント登録時にメールアドレス確認が"できない"状況を考える。
「面倒くさい」以外の理由としては、

• 第3者のメールアドレス
• 誤ったメールアドレス
• もう利用できないメールアドレス

というあたり。
悪い人かミスったか、どっちかという感じ。

方針

上述した悪い人とミスった人をどう考えるかという方針が必要。

• 悪い人かどうかわからないうちは、大事な処理はさせない -> 利用制限
• 悪い人に狙われた本人には、そのアカウントを無効化できるようにする -> 心当たりなし対応
• ミスった人は... -> メアド確認前のメアド変更機能

必要になる処理

利用制限

"メアド未確認ユーザーに利用を許容する機能" は
連番メアドで大量取得などされて利用される可能性がある。

• メアド未確認ユーザーに利用を許可する機能のリストアップ
  • 登録した環境ではここで許可されている機能のみ利用出来る
• 新規ログイン時にメアド未確認かどうかをチェック
  • 未確認ならエラーを出すか or 警告で済ます

心当たりなし対応

• メアド確認時に送信するメールに「心あたりがない場合は...」みたいなリンクをつける
• 問い合わせがあったアカウントを削除する

どのようにメアド確認を要求すべきか

• 定期的に確認用メールを送信
• ログイン時に送信（画面表示とタイミングを合わせる）

メアド確認前の変更機能

確認しようにもメールが来ない！的な状態から救う。

• ここではメアド確認を必須にする
• 確認が完了したらメアド付け替える

いきなりまとめ

• 悪い人、ミスった人向けに機能制限、リカバリー機能の実装が必要

他に思うところがある方がいらっしゃいましたらコメントお願いします。