Saltar al contenido principal
Al usar una dirección de correo electrónico proporcionada por un usuario, es importante verificar que el usuario tenga acceso a ese correo electrónico. Esto es importante siempre que envíes un correo electrónico a un usuario o si usas el correo electrónico como índice de búsqueda. Auth0 no recomienda usar una dirección de correo electrónico como forma de validar que un usuario es quien dice ser. La Verificación de correo electrónico es crucial para las aplicaciones que:
  • Usan direcciones de correo electrónico como una de las formas principales de indexar usuarios
  • Envían correos electrónicos a los usuarios
  • Usan direcciones de correo electrónico para recomendar la vinculación de cuentas
  • Permiten que los usuarios creen cuentas asociadas a una dirección de correo electrónico
Auth0 ofrece varias formas de agregar la Verificación de correo electrónico a tu aplicación, así como una extensión de Marketplace que exige que los usuarios verifiquen sus correos electrónicos antes de iniciar sesión.
Aunque la Verificación de correo electrónico reduce el riesgo de que las cuentas se vean comprometidas, no es una solución perfecta. Es posible que tu aplicación también necesite otras medidas de seguridad.

Elija el enfoque correcto

Hay varias formas de marcar correos electrónicos como verificados o no verificados. Para determinar qué método le conviene más, estas son algunas preguntas que puede plantearse usted mismo o a su equipo:
  • ¿Estoy almacenando (o pienso almacenar) identificadores y contraseñas en Auth0 (o en una base de datos conectada a través de Auth0)?
  • ¿Tengo requisitos especiales de Verificación de correo electrónico que me impidan usar el flujo integrado de Verificación de correo electrónico de Auth0?
  • ¿Necesito marcar de forma masiva un gran número de usuarios con el correo electrónico como verificado?
  • ¿Tengo usuarios que provienen de Azure AD, ADFS u otras conexiones empresariales y cuyos correos electrónicos deberán verificarse?
Si almacena identificadores y contraseñas en Auth0 o usa una conexión de base de datos personalizada para almacenar usuarios en su propio sistema, probablemente pueda usar el flujo integrado de Verificación de correo electrónico de Auth0. Si tiene requisitos que le impiden usar el flujo integrado de Auth0 o necesita marcar de forma masiva un gran número de usuarios, tenemos endpoints de API que pueden ayudarle. Por último, si tiene usuarios de conexiones empresariales, algunas de esas conexiones tienen flujos de trabajo especiales para la Verificación de correo electrónico. Para obtener más información, consulte Compatibilidad especial para la verificación. Una forma habitual de verificar correos electrónicos con Auth0 es enviar al usuario un enlace de Verificación de correo electrónico. Cuando el usuario hace clic en el enlace, el indicador email_verified del usuario se establece en true. De forma predeterminada, Auth0 envía enlaces de Verificación de correo electrónico a los usuarios cuando se registran. También puedes personalizar cuándo Auth0 envía correos electrónicos de verificación. Por ejemplo, si necesitas verificar correos electrónicos de forma masiva o si quieres posponer la verificación hasta que el usuario realice una acción que requiera un correo electrónico verificado. Hay dos formas de controlar cuándo el usuario recibe el correo electrónico de verificación:

Códigos de un solo uso

Los códigos de un solo uso (OTP) se pueden enviar por correo electrónico a cada nuevo usuario al crear la cuenta para garantizar que cada usuario tenga verificado su correo electrónico. Como los enlaces de verificación por correo electrónico pueden provocar verificaciones accidentales por parte de escáneres de correo o de los propios usuarios, los OTP garantizan que cada usuario verifique activamente una dirección de correo electrónico existente. Para usar OTP, tu inquilino debe tener habilitados Universal Login, Identificadores flexibles y inicio de sesión con identificador primero.
Los tokens OTP para verificar identificadores de teléfono y correo electrónico tienen una duración de 900 segundos.
Para configurar OTP, ve a Authentication > Database y selecciona la conexión que quieres cambiar; luego elige Atributos, localiza Correo electrónico, selecciona el botón de menú y habilita Código de un solo uso (OTP).

Verificación personalizada o masiva con la Management API

Esto funciona con conexiones sociales y de base de datos, pero no con conexiones empresariales. Ten en cuenta que el campo email_verified puede sobrescribirse por el proveedor de identidad social si los datos provienen de este.
En algunos casos, puede que quieras verificar el correo electrónico por otros medios. Por ejemplo, si tienes una lista de usuarios que quieres verificar de forma masiva o algún otro método para verificar el correo electrónico de un usuario mediante un flujo de trabajo personalizado que hayas creado. En estos casos, puedes usar el endpoint PATCH /api/v2/users para establecer email_verified en true.

Compatibilidad especial con la verificación

Para las conexiones empresariales de Azure AD y ADFS, Auth0 admite algunos flujos personalizados de Verificación de correo electrónico. Esto puede ayudarle a garantizar que los usuarios que provienen de otros sistemas tengan direcciones de correo electrónico verificadas de forma precisa y segura. Para obtener más información, consulte Verificación de correo electrónico para Azure AD y ADFS.

Más información