De flesta webbplatser tillåter att en e-postadress endast används för ett konto vilket är vettigt, för det mesta behöver användare bara ett konto. Därför krävs en unik e-postadress.

Med detta sagt, när användaren har registrerat sig men bara behöver bekräfta sin e-postadress, vill du infoga e-postadressen i databasen av användaren att inte tillåta någon annan eller samma person att registrera sig igen. Om du inte hanterar e-postbekräftelsens utgång kan någon registrera sig med någon annans e-postadress och aldrig bekräfta den, vilket låser e-postmeddelandet från den legitima användaren om han någonsin vill registrera sig på din webbplats.

Om användaren inte har bekräftat sin e-postadress under angiven tid, vill du göra den tillgänglig igen, om det inte egentligen var hans adress eller om han vill registrera sig senare. Tänk på fallet där en användare angav fel e-postadress av misstag.

Nu för rätt tid skulle jag säga att det beror på vilken typ av webbplats det är. Jag ser inte poängen med att tillåta mer än några timmar eftersom användaren snabbt kan komma åt sin e-postadress om han kunde registrera sig på din webbplats. Tänk på fallet där en användare glömde sitt lösenord för e-postadressen och inte kan komma åt det. Han kan behöva gå igenom några steg för att få tillbaka sitt lösenord, vilket kan ta en stund. Men skulle det verkligen skada om han måste registrera sig igen? Återigen beror det på webbplatsen.

Att ta resursutmattningsattacker ur ekvationen, det finns ingen anledning att du måste upphöra med dessa länkar.

Med detta sagt bör du tänka på hur 99% av användarna ska använda din webbplats och optimera för det. Det kommer att vara sällsynt att någon kommer att hitta en 18 månader gammal aktiveringslänk i sin inkorg OCH komma ihåg din webbplats OCH fortfarande hitta den användbar OCH klicka på den länken.

Med aktiveringslänkar eller koder som varar för alltid måste du behålla dem för alltid. Om du har en populär webbplats som kan vara många rader i din DB.

Vad är det värsta fallet om du upphör att länka efter 10 dagar och de måste klicka på "skapa konto" igen?

Förresten, att blockera aktivering för en användare B eftersom användare A redan använt sin e-postadress (antingen felaktigt eller skadligt) är en mycket dålig upplevelse. Det handlar inte om vem som kommer dit först, det handlar om vem som faktiskt äger e-postkontot.

Jag instämmer i detta svar (+1). De flesta av webbplatserna måste ha en funktion eftersom original e-post kan försvinna under resan eller blockeras av ett skräppostfilter. Detta innebär att, i motsats till mest uppgraderade svar, kan ingen låsa min e-post eftersom jag alltid kan skicka verifierings-e-post till min adress igen. Så den enda verkliga anledningen till att verifieringslänkar upphör är lagringsresurser : vi vill ta bort icke-verifierade konton (länkar) för att undvika att lagring växer på obestämd tid eller saktar ner. Så vi behöver ett förnuftigt sätt att ta bort "utgångna" icke-verifierade konton (säg 48 timmar sedan det senaste verifierings-e-postmeddelandet har skickats).