현재 사이트의 로그인 방법으로 아이디, 이메일 주소를 사용하고 있습니다.

 

그런데 아이디를 로그인 방법으로 선택할 경우, 회원정보에서 이메일을 인증과정 없이 자유롭게 변경할 수 있는 문제가 있습니다.

이를 악용하여 기존 계정의 이메일 주소를 임의로 바꾸고 원래 이메일을 이용해서 부계정을 만드는 회원이 있더군요.

 

아이디를 로그인 방법으로 선택하지 않아야 회원정보에서 '이메일 주소 변경' 버튼이 나오고, 회원정보 수정 페이지의 이메일 란이 수정할 수 없게 처리되던데요.

 

아이디를 사용한 상태에서 회원정보에서 이메일 인증을 거쳐야 주소 변경이 가능하도록 하고 싶습니다.

 

아이디를 로그인 방법으로 사용하면 이메일 주소가 인증 없이 마음대로 변경 가능한 이유를 잘 모르겠습니다. 이게 개발할 때 의도된 것인지도 궁금합니다.

  • profile
    이건 고쳐져야 할 문제로 보이는데요.
    이메일주소를 회원이 스스로 회원정보 수정에서 고칠수 있도록 해서는 안될 겁니다.

    물론 사용하는 이메일이 바뀌어서 바꿀 필요가 있다면 "이메일 변경"을 통해서 새로운 바뀌는 이메일로 인증키가 발송되도록 하는 정상적인 과정을 거쳐서 변경이 되도록 해야겠죠.

    아이디 로그인 사용을 허용했을때 정보수정이 가능한 항목 중 이메일주소가 포함되어 버리는건 고쳐져야 할 것 같습니다.
  • profile profile
    역시 그렇군요. 회원가입 할 때는 이메일 인증을 거치는데 막상 정보수정에서 이메일 변경은 자유로운게 아무리 생각해도 말이 안 되는 것 같습니다..
  • profile profile
    회원 가입 뿐 아니라 이메일 변경 시 에도 인증 받을 수 있는 메일만 변경이 이루어지도록 되어있어요.
    지금 문제는 버그라기 보다는 미스 같습니다.
  • profile
    "회원가입", "이메일 주소 변경" 에서 변경하면 인증을 거치는데, "회원정보 변경"에서 변경하면 그냥 변경되는군요 ㅎㅎㅎㅎ...........