¿Debería recibir un correo electrónico un usuario desactivado?

benjamincfarmer · 9 Mayo, 2025 17:44

Estoy buscando una forma de forzar una revalidación de correo electrónico de los usuarios. Vi , en la página de usuario y realicé una prueba. Al intentar iniciar sesión, la prueba me dio como respuesta

pero ningún correo electrónico a esa dirección para revalidar, solo cambiar.

¿Debería el usuario desactivado haber recibido un correo electrónico alertándoles que necesitan revalidar?

JammyDodger · 10 Mayo, 2025 06:03

Cuando desactivas manualmente a un usuario, no se le envía automáticamente un correo electrónico pidiéndole que revalide, aunque puedes presionar el botón que aparece en su página de usuario/administrador para reenviarlo.

Cuando una cuenta inactiva intenta iniciar sesión, se le debería presentar una pantalla como esta, donde puede elegir que se le envíe una nueva:

No estoy seguro de por qué tu captura de pantalla parece carecer de esa opción. ¿Podría ser algún código personalizado que hayas agregado para ocultar un botón en particular que también ha ocultado accidentalmente este? ¿Aparece en modo seguro?

Editar: Después de investigar un poco, creo que es la configuración de must approve users (los usuarios deben aprobar) lo que hace que el cuadro desaparezca. Cuando la habilito, ya no obtengo la opción que aparece:

No estoy 100% seguro de que sea intencional.

JammyDodger · 10 Mayo, 2025 08:00

Sí parece intencional:

Aunque también interrumpe el flujo de revalidación para la desactivación manual de usuarios, por lo que todavía se siente como un error.

Lo moveré a Bug y veré si alguien más informado puede dictaminar.

sam · 11 Mayo, 2025 23:17

Para recapitular:

La comunidad es solo por invitación y cada nuevo miembro debe ser aprobado por el personal.
Quieres forzar la revalidación de correo electrónico en algunos usuarios.
Dado que must_approve_users es invite_only y login_required, falta la opción para reenviar el correo electrónico de activación.

Algunas observaciones:

La interacción de las 3 configuraciones es un poco confusa. ¿Por qué querrías must_approve_users si ya eres una comunidad invite_only?
El bloqueo de la aprobación por correo electrónico de must_approve_users es algo confuso, deberíamos revisarlo.

Dejo esto al equipo de experiencia del personal para su clasificación. Espera una respuesta esta semana.
@benjamincfarmer ¿Tiene sentido probar must_approve_users desactivado en tu comunidad dado que ya es solo por invitación?

Moin · 11 Mayo, 2025 23:26

¿Cómo se relaciona solo invitación con esto?

Cuando deshabilito a un usuario, falta el botón de reenviar correo electrónico de activación porque debe aprobar usuarios está habilitado. Solo invitación no está habilitado en mi foro.

github.com/discourse/discourse

app/assets/javascripts/discourse/app/components/activation-controls.gjs

eff31e0d4


      
          @service siteSettings;
          
          get canEditEmail() {
            return (
              this.siteSettings.enable_local_logins || this.siteSettings.email_editable
            );
          }
          
          <template>
            <div class="activation-controls">
              {{#unless this.siteSettings.must_approve_users}}
                <DButton
                  @action={{@sendActivationEmail}}
                  @label="login.resend_title"
                  @icon="envelope"
                  class="btn-primary resend"
                />
              {{/unless}}
          
              {{#if this.canEditEmail}}
                <DButton

sam · 11 Mayo, 2025 23:31

Sí, estoy de acuerdo en que no está relacionado, pero el foro en cuestión no parece necesitar aprobar usuarios, ya que de todos modos es solo por invitación.

Moin · 11 Mayo, 2025 23:36

Entiendo que usen ambos, así que los usuarios con cierto nivel de confianza pueden invitar a otros, pero el personal aún puede controlar quién se une a la comunidad. Esperaría menos registros de spammers, por lo que menos trabajo para el personal.

sam · 11 Mayo, 2025 23:47

El contexto del cambio parece ser:

Por lo tanto, “must approve users” (los usuarios deben ser aprobados) depende de que los “admins” (administradores) realicen la validación del correo electrónico.

Mi instinto aquí es que el cambio a corregir es bastante complejo.

Must approve users - solo debería recibir usuarios que han validado sus correos electrónicos.
Por lo tanto, incluso si esta configuración está habilitada, deberíamos validar los correos electrónicos primero antes de pasar los usuarios a los administradores.

Lo que sería una reestructuración importante de esta función. No estoy en contra de esto de ninguna manera, pero se siente algo complejo.

Moin · 12 Mayo, 2025 00:31

Ese tema se creó en septiembre de 2017.

Esto se confirmó en mayo, así que antes de que se creara el tema.

¿No es ese el caso?
Cuando registro un nuevo usuario:

Relleno el formulario de registro

Screenshot_20250512_022217_Firefox855×679 50.7 KB
Luego se me pide que valide la dirección de correo electrónico

Screenshot_20250512_021653_Firefox1068×555 94.4 KB
Cuando abro el enlace enviado por correo electrónico, hago clic para activar la cuenta

Screenshot_20250512_021724_Firefox1024×440 49.3 KB
Se me informa que debo esperar a que el personal revise mi registro.

Screenshot_20250512_021734_Firefox1051×687 115 KB

En este punto, el registro aparece en la cola de revisión, y el personal puede aprobar al usuario, que luego recibe el correo electrónico de que puede iniciar sesión.

Screenshot_20250512_021814_Firefox1268×960 120 KB

benjamincfarmer · 12 Mayo, 2025 01:13

El deseo principal de la desactivación de cuentas era eliminar las cuentas de personas que ya no tienen acceso a su dirección de correo electrónico de registro original. Al observar que puedes mover la cuenta a una nueva dirección cuando la cuenta se desactiva, me he dado cuenta de que de todos modos no proporcionaría el efecto que buscábamos.

Perdón por remover el avispero @sam

Nuestro foro se utiliza para brindar soporte a nuestras agencias de ventas. Si uno de estos empleados se va y va a un competidor, queremos eliminarlo del sistema. La retroalimentación de la agencia sería la mejor manera de hacer esto, si tuviera fe en que me lo dirían.

kris.kotlarek · 27 Mayo, 2025 07:29

Gracias por explicar el problema. Una opción sería eliminar al usuario, pero supongo que te gustaría conservar las publicaciones antiguas.
La segunda opción sería anonimizar al usuario. Eso les impediría iniciar sesión nuevamente y tú conservarías todas las conversaciones (bajo un nombre de usuario anonimizado).

Sin embargo, si deseas conservar su nombre de usuario original, necesitaríamos desarrollar un nuevo botón llamado “desaprobar”. Lo colocaríamos aquí:

Si un usuario “desaprobado” intenta iniciar sesión, vería esta pantalla:

¿Te funcionaría la función de anonimizar? Podríamos tardar un momento en desarrollar la función de “desaprobar”.

nickrsan · 27 Junio, 2025 21:48

Hola a todos,

Tenemos una necesidad muy similar para la que pensé que “Desactivar usuario” podría servir, pero encontré lo mismo: la desactivación no activa un correo electrónico de reactivación, ni siquiera permite al usuario reenviar el correo porque somos un foro privado que requiere aprobación.

Nuestro caso de uso es que permitimos que personas de un grupo específico de empleadores del sector público se unan a una comunidad, lo que se demuestra con su dirección de correo electrónico. Estamos buscando hacer algún tipo de re-verificación periódica de que todavía están en el empleador, forzando la reactivación de la cuenta, de modo que no puedan iniciar sesión con las credenciales existentes por mucho tiempo si dejan su empleador y su cuenta de correo electrónico se desactiva.

No estoy buscando herramientas de archivo de cuentas en este momento; las que existen funcionarán. El flujo sobre el que tengo dudas y me preocupa es cómo contactar a todos los usuarios y decirles “oye, ¿sigues en la misma dirección de correo electrónico?” y que se les exija verificarla, sin la posibilidad de cambiar la dirección de correo electrónico en la cuenta aprobada. Creo que podríamos restablecer las contraseñas, y necesitarían acceso a la cuenta de correo electrónico para restablecer su contraseña, pero eso supone una carga mayor para las personas que hacer clic en el enlace y podría disuadir a algunas personas.

Si hay una mejor manera de lograr este tipo de reverificación periódica, estoy abierto a ella, ya sea en la interfaz de usuario o mediante algún uso de las API para activar manualmente nuevos tokens y correos electrónicos de verificación.

¡Gracias!

JammyDodger · 4 Julio, 2025 08:10

¿Se confirmó que esto era intencional? Si es así, creo que esto probablemente se pueda mover de Bug. (También tengo un poco de curiosidad sobre la justificación si alguien está dispuesto a compartir )

Si es intencional, entonces parece haber al menos dos problemas de UX/Feature aquí:

Suavizar la experiencia de usuario de esta situación de “callejón sin salida” de re-verificación en la que un usuario puede encontrarse.
Proporcionar una forma de forzar periódicamente la revalidación del correo electrónico, donde los usuarios no pueden simplemente cambiar a un correo electrónico no autorizado y continuar accediendo al sitio.

Tema		Respuestas	Vistas
Emails are still sent to de-activated users Bug	3	1034	31 Agosto 2015
Cannot activate a user with an unconfirmed email token Bug	11	984	15 Febrero 2018
Deactivated Account Still Receives Emails Feature email	8	3213	20 Abril 2016
Activation email sent after account was deactivated Support	5	514	9 Octubre 2020
Deactivated users are sometimes not being deactivated Support	5	515	24 Septiembre 2024

¿Debería recibir un correo electrónico un usuario desactivado?

Temas relacionados