Định nghĩa
Double opt-in (cũng được viết là double opt-in, xác nhận đồng ý hoặc COI) là một cơ chế đồng ý hai giai đoạn được sử dụng trong các hệ thống đăng ký email, biểu mẫu nhập cuộc thi và quy trình đăng ký. Trong giai đoạn đầu, người dùng nhập địa chỉ email của họ vào biểu mẫu và gửi nó. Trong giai đoạn thứ hai, hệ thống gửi một email xác nhận giao dịch đến địa chỉ đó chứa một liên kết xác minh duy nhất; đăng ký, phiếu bầu cuộc thi hoặc đăng ký chỉ được ghi lại là hợp lệ sau khi người nhận nhấp vào liên kết đó, xác nhận cả rằng địa chỉ là thật và rằng người kiểm soát nó đã khởi xướng yêu cầu.
Thuật ngữ này đối lập với single opt-in (SOI), trong đó việc gửi biểu mẫu một mình hoàn thành đăng ký mà không cần bất kỳ xác nhận email nào. Double opt-in được coi rộng rãi là thực hành tốt nhất ngành bởi Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG), Email Experience Council (một phần của Data & Marketing Association) và các nhà cung cấp hộp thư đến bao gồm Google, Microsoft và Yahoo. Theo Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (GDPR) và pháp luật tương tự như CASL của Canada, double opt-in cung cấp một dấu vết kiểm toán đồng ý mạnh hơn — mặc dù không bắt buộc về mặt pháp lý.
Cách hoạt động
Pipeline double opt-in bao gồm bốn thành phần: biểu mẫu web, backend ứng dụng, cơ sở hạ tầng email giao dịch và điểm cuối xác nhận.
Khi người dùng gửi địa chỉ email của họ, backend tạo một bản ghi đang chờ xử lý chứa địa chỉ, một mã thông báo được tạo bằng mật mã (thường là UUID v4 hoặc mã thông báo HMAC đã ký), dấu thời gian và hành động dự định (đăng ký bản tin, xác nhận phiếu bầu cuộc thi, kích hoạt tài khoản). Hệ thống gửi email xác nhận thông qua một nhà cung cấp email giao dịch như Amazon SES, SendGrid, Mailgun hoặc Postmark. Email tuân theo các tiêu chuẩn khả năng phân phối tương tự như bất kỳ thông điệp giao dịch nào: tên miền gửi phải có xác thực SPF và DKIM hợp lệ để đảm bảo việc đặt hộp thư đến.
Email xác nhận chứa một liên kết một lần sử dụng, thường được kiểu cách như một nút có nhãn “Xác nhận đăng ký của bạn”, “Xác minh email của bạn” hoặc “Xác nhận phiếu bầu của bạn”. Liên kết nhúng mã thông báo duy nhất làm tham số URL. Khi người nhận nhấp vào liên kết, trình duyệt của họ gửi yêu cầu đến điểm cuối xác nhận, xác thực mã thông báo — kiểm tra rằng nó chưa hết hạn, chưa được sử dụng trước đó và khớp với một bản ghi đang chờ xử lý. Nếu tất cả các kiểm tra đều vượt qua, bản ghi được nâng cấp từ trạng thái đang chờ xử lý sang trạng thái đã xác nhận. Nếu mã thông báo đã hết hạn (thường là 24-72 giờ sau khi phát hành) hoặc đã được sử dụng, hệ thống trả về một lỗi và bản ghi đang chờ xử lý vẫn còn hoặc bị loại bỏ sau một khoảng thời gian dọn dẹp.
Sự kiện xác nhận được ghi lại với địa chỉ IP xác nhận, chuỗi user-agent và dấu thời gian — tạo ra một bản ghi đồng ý có thể kiểm tra được khác biệt với bản ghi gửi ban đầu. Sự tách biệt này là lợi thế dấu vết kiểm toán của double opt-in so với single opt-in.
Bạn gặp Double Opt-In ở đâu
Double opt-in được sử dụng trong bất kỳ ngữ cảnh nào mà chất lượng địa chỉ email, tài liệu đồng ý hoặc phòng chống gian lận là ưu tiên.
Tiếp thị email: Các nền tảng tự động hóa tiếp thị bao gồm Mailchimp, Klaviyo, HubSpot, ActiveCampaign và Brevo (trước đây là Sendinblue) cung cấp double opt-in như một tùy chọn có thể cấu hình hoặc mặc định cho các danh sách mới. Người gửi hoạt động ở EU, Anh, Canada hoặc Úc thường kích hoạt nó để hỗ trợ tuân thủ GDPR, CASL hoặc Đạo luật Spam Úc.
Nền tảng cuộc thi: Các nền tảng cuộc thi và xổ số bao gồm Woobox, ShortStack và Strutta sử dụng cơ chế double opt-in cụ thể cho phiếu bầu xác nhận email. Bước xác nhận đồng thời xác thực địa chỉ email là có thể giao và tạo bản ghi khử trùng lặp trên mỗi địa chỉ. Người tham gia cuộc thi không hoàn thành bước xác nhận trong cửa sổ hết hạn sẽ có phiếu bầu của họ bị loại bỏ một cách im lặng. Điều này được mô tả chi tiết trong mục thuật ngữ Email Confirmation Vote.
Đăng ký tài khoản SaaS: Các ứng dụng web yêu cầu tài khoản đã xác minh — các công cụ quản lý dự án, các nền tảng phát triển, các diễn đàn cộng đồng — sử dụng double opt-in như cơ chế kích hoạt tài khoản tiêu chuẩn. Hướng dẫn Danh tính Kỹ thuật số của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) (SP 800-63B) mô tả xác minh dựa trên email là một phương pháp chứng minh danh tính hợp lệ ở Cấp độ Đảm bảo Danh tính 1 (IAL1).
Công cụ phản hồi và khảo sát: Các công cụ bao gồm SurveyMonkey, Typeform và Qualtrics có thể sử dụng xác nhận email để xác minh rằng người trả lời khảo sát là người họ tuyên bố trong các bảng yêu cầu danh tính đã xác thực.
Ví dụ thực tế
Một hội đồng du lịch khu vực vận hành cuộc thi “Viên ngọc ẩn tốt nhất” hàng năm. Khách truy cập bỏ phiếu bằng cách nhập địa chỉ email của họ vào microsite cuộc thi. Nền tảng gửi email xác nhận từ [email protected] — một tên miền gửi với các bản ghi SPF, DKIM và DMARC hợp lệ. Người bỏ phiếu có 48 giờ để nhấp vào liên kết xác nhận. Tổng hợp, 72% địa chỉ email được gửi hoàn thành xác nhận; 28% còn lại đã nhập địa chỉ sai chính tả, sử dụng hộp thư dùng một lần được lọc bởi dịch vụ xác thực email thời gian thực của nền tảng (NeverBounce hoặc ZeroBounce), hoặc đơn giản là không kiểm tra email của họ trong cửa sổ xác nhận.
Một thương hiệu thời trang Châu Âu vận hành một cuộc thi ảnh mở cho cư dân EU và trích dẫn rõ ràng GDPR Điều 6(1)(a) đồng ý là cơ sở pháp lý của họ để thêm những người bỏ phiếu đã xác nhận vào danh sách tiếp thị của họ. Bước xác nhận double opt-in phục vụ mục đích kép: nó xác thực phiếu bầu và tạo ra sự đồng ý có tài liệu, đóng dấu thời gian cho giao tiếp tiếp thị tiếp theo. Chân email xác nhận bao gồm một tiết lộ ngôn ngữ thông thường: “Bằng cách xác nhận phiếu bầu của bạn, bạn đồng ý nhận bản tin hàng tháng. Bạn có thể hủy đăng ký bất kỳ lúc nào.”
Khái niệm liên quan
Double opt-in là quy trình hướng người dùng được mô tả trực tiếp nhất trong mục Email Confirmation Vote, bao gồm các cơ chế kỹ thuật của pipeline xác nhận từ góc nhìn của nền tảng cuộc thi. Việc giao thành công email xác nhận phụ thuộc vào việc xác thực SPF Record và DKIM của tên miền gửi được cấu hình đúng cách, và vào tên miền có chính sách DMARC thích hợp bảo vệ uy tín người gửi. Tài liệu M3AAWG Sender Best Common Practices (M3AAWG SBCP, phiên bản 3.0) khuyến nghị double opt-in là thực hành cơ bản cho tất cả những người gửi email dựa trên cấp phép.
