你提到的冒用邮箱注册的风险确实是个常见问题，强烈建议你在注册流程中加入邮箱验证环节，并且限制未验证邮箱的用户登录或使用核心功能——这不仅能有效防范冒用，还能提升账号安全性，Firebase Auth本身就提供了完善的支持，实现起来非常方便。

下面分几个部分给你详细讲具体方案和实现步骤：

一、为什么必须做邮箱验证？ #

• 防止他人冒用第三方邮箱注册，保护真实邮箱所有者的权益；
• 过滤无效或虚假邮箱，提升用户数据的真实性；
• 符合多数平台的安全规范，降低后续账号纠纷的风险；
• Firebase Auth原生支持，几乎不需要额外开发成本。

二、具体实现方案及代码示例 #

1. 注册时自动发送邮箱验证邮件 #

当用户完成邮箱密码注册后，立即调用Firebase Auth的sendEmailVerification方法发送验证邮件，邮件内容可以在Firebase控制台自定义（Authentication > 模板里修改验证邮件的样式和文案）。

Web端（JavaScript）示例：

import { getAuth, createUserWithEmailAndPassword, sendEmailVerification } from "firebase/auth";

const auth = getAuth();
// 注册流程
document.getElementById("signup-form").addEventListener("submit", (e) => {
  e.preventDefault();
  const email = document.getElementById("email").value;
  const password = document.getElementById("password").value;

  createUserWithEmailAndPassword(auth, email, password)
    .then((userCredential) => {
      const user = userCredential.user;
      // 发送验证邮件
      return sendEmailVerification(user);
    })
    .then(() => {
      alert("注册成功！请查收你的邮箱完成验证，验证后才能登录");
      // 可以跳转到验证提示页面
      window.location.href = "/verify-email";
    })
    .catch((error) => {
      console.error("注册失败：", error.message);
      alert(`注册失败：${error.message}`);
    });
});

Android端（Kotlin）示例：

val auth = FirebaseAuth.getInstance()
val email = binding.etEmail.text.toString()
val password = binding.etPassword.text.toString()

auth.createUserWithEmailAndPassword(email, password)
    .addOnCompleteListener(this) { task ->
        if (task.isSuccessful) {
            val user = auth.currentUser
            user?.sendEmailVerification()
                ?.addOnCompleteListener { verifyTask ->
                    if (verifyTask.isSuccessful) {
                        Toast.makeText(this, "注册成功！请查收邮箱完成验证", Toast.LENGTH_LONG).show()
                        // 跳转到验证提示页面
                        startActivity(Intent(this, VerifyEmailActivity::class.java))
                    } else {
                        Toast.makeText(this, "发送验证邮件失败：${verifyTask.exception?.message}", Toast.LENGTH_SHORT).show()
                    }
                }
        } else {
            Toast.makeText(this, "注册失败：${task.exception?.message}", Toast.LENGTH_SHORT).show()
        }
    }

2. 限制未验证邮箱的用户登录/使用功能 #

有两种方式可以实现限制，建议结合使用：

方式一：登录后立即检查验证状态，未验证则强制退出

在用户登录成功后，检查用户对象的emailVerified字段，如果为false，则提示用户验证邮箱并退出登录。

Web端示例：

import { getAuth, signInWithEmailAndPassword, signOut } from "firebase/auth";

const auth = getAuth();
// 登录流程
document.getElementById("login-form").addEventListener("submit", (e) => {
  e.preventDefault();
  const email = document.getElementById("email").value;
  const password = document.getElementById("password").value;

  signInWithEmailAndPassword(auth, email, password)
    .then((userCredential) => {
      const user = userCredential.user;
      if (!user.emailVerified) {
        alert("请先验证你的邮箱再登录！验证邮件已发送到你的邮箱");
        // 强制退出
        return signOut(auth);
      }
      // 验证通过，跳转到主页面
      window.location.href = "/dashboard";
    })
    .catch((error) => {
      console.error("登录失败：", error.message);
      alert(`登录失败：${error.message}`);
    });
});

方式二：用Firebase安全规则限制未验证用户访问资源

即使用户绕过了前端的检查（比如通过调试工具），也可以通过Firebase的安全规则（Firestore、Storage等）限制未验证用户的访问权限，从后端层面加固安全。

比如Firestore的安全规则：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    // 只允许已验证邮箱的用户读写数据
    match /{document=**} {
      allow read, write: if request.auth != null && request.auth.token.email_verified;
    }
  }
}

3. 如何验证用户邮箱状态及重新发送验证邮件 #

检查当前用户的邮箱验证状态

可以通过当前用户对象的emailVerified属性直接获取：

const auth = getAuth();
const user = auth.currentUser;

if (user) {
  console.log("用户邮箱是否已验证：", user.emailVerified);
  if (!user.emailVerified) {
    // 显示验证提示或重新发送按钮
    document.getElementById("resend-verify-btn").style.display = "block";
  }
}

重新发送验证邮件

给用户提供重新发送验证邮件的功能，避免用户丢失邮件无法验证：

import { getAuth, sendEmailVerification } from "firebase/auth";

const auth = getAuth();
const user = auth.currentUser;

document.getElementById("resend-verify-btn").addEventListener("click", () => {
  if (user) {
    sendEmailVerification(user)
      .then(() => {
        alert("验证邮件已重新发送，请查收邮箱");
      })
      .catch((error) => {
        console.error("重新发送邮件失败：", error.message);
        alert(`发送失败：${error.message}`);
      });
  }
});

三、总结 #

• 必须开启邮箱验证，这是防范冒用邮箱注册的核心手段；
• 同时实现注册发送验证邮件和登录检查验证状态，双重保障；
• 配合Firebase安全规则，从后端层面限制未验证用户的资源访问；
• 提供重新发送验证邮件的功能，提升用户体验。

内容的提问来源于stack exchange，提问作者John vattic