Занимаясь проектированием одного сервиса, я задумался: имеет ли смысл авторизовать пользователя сразу после регистрации или лучше не делать этого? С одной стороны, опыт подавляющего большинства сайтов говорит нам о том, что посетители привыкли к тому, что после процедуры регистрации им больше ничто не мешает пользоваться услугами сайта. С другой, многие используют всевозможные приложения и менеджеры паролей (интегрированные в браузер или сторонние сервисы), а значит, при следующем входе им придется вспоминать свои логин-пароль вместо того, чтобы войти почти автоматически.
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/4a5/711/2d6/4a57112d650e7cfc1708c9e12c64ddc9.png)
Вместо того, чтобы выбирать, какой же из вариантов удобнее, имеет смысл воспользоваться преимуществами обоих способов и свести схему регистрации пользователя к такой, что после отправки данных, введенных в регистрационную форму, пользователь попадает на страницу авторизации, где в соответствующие поля уже введена вся необходимая информация (не забываем при этом в базу писать не сам пароль, а, к примеру, его соленый хэш). Нажав кнопку «Войти», пользователь может сохранить свои логин-пароль в менеджере паролей, а процедура регистрации усложняется всего на один шаг. Даже вариант с автоматической генерацией пароля и отправкой его на почту требует больше действий.
Если кто-то захочет попробовать, я сделал простой пример системы, который показывает общее развитие сценария.
Фактически, с точки зрения безопасности подобный подход не слабее обычного варианта входа, но позволяет пользователям воспользоваться удобным и привычным для многих инструментом запоминания паролей. Еще одним преимуществом такой модификации является то, что в анкете на регистрацию можно убрать поля ввода пароля, оставив там в лучшем случае всего лишь поле для почты.
![image](https://habrastorage.org/getpro/habr/post_images/4a5/711/2d6/4a57112d650e7cfc1708c9e12c64ddc9.png)
Вместо того, чтобы выбирать, какой же из вариантов удобнее, имеет смысл воспользоваться преимуществами обоих способов и свести схему регистрации пользователя к такой, что после отправки данных, введенных в регистрационную форму, пользователь попадает на страницу авторизации, где в соответствующие поля уже введена вся необходимая информация (не забываем при этом в базу писать не сам пароль, а, к примеру, его соленый хэш). Нажав кнопку «Войти», пользователь может сохранить свои логин-пароль в менеджере паролей, а процедура регистрации усложняется всего на один шаг. Даже вариант с автоматической генерацией пароля и отправкой его на почту требует больше действий.
Если кто-то захочет попробовать, я сделал простой пример системы, который показывает общее развитие сценария.
Фактически, с точки зрения безопасности подобный подход не слабее обычного варианта входа, но позволяет пользователям воспользоваться удобным и привычным для многих инструментом запоминания паролей. Еще одним преимуществом такой модификации является то, что в анкете на регистрацию можно убрать поля ввода пароля, оставив там в лучшем случае всего лишь поле для почты.