<blockquote>
<p>So on the basis of that it seems to me that this is missing tests for the token based flow?</p>
</blockquote>
<p>Possibly. I'll see how to do them then.</p>
<blockquote>
<p>As far as "verified" emails go I understand what you're saying but we really want to be sure we can at least send a working welcome email, which means knowing that the email is working right now.</p>
</blockquote>
<p>So why do we have verified email providers then? You can register in Google with your other, non-gmail email, which I did. Google does not send anything to that email, apart from rare google docs notifications. You could have registered in Yahoo Mail 20 years ago and use the account only for authentication. Verification flag for these was introduced in <a href="https://github.com/openstreetmap/openstreetmap-website/commit/104727f889aaf31f917c8243014b161732b6e351" class="commit-link"><tt>104727f</tt></a> in 2012. Are you saying we don't trust any third-party server now and the e-mail should be validated in all cases?</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-278693901">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLao9UTLanRjWBrGqX-e1ans4EmaWks5raz6MgaJpZM4L8Kyb">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLbP5w3iV2hMYIyEAe4-Rc0jN0MQaks5raz6MgaJpZM4L8Kyb.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-278693901"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@Zverik in #1433: \u003e So on the basis of that it seems to me that this is missing tests for the token based flow?\r\n\r\nPossibly. I'll see how to do them then.\r\n\r\n\u003e As far as \"verified\" emails go I understand what you're saying but we really want to be sure we can at least send a working welcome email, which means knowing that the email is working right now.\r\n\r\nSo why do we have verified email providers then? You can register in Google with your other, non-gmail email, which I did. Google does not send anything to that email, apart from rare google docs notifications. You could have registered in Yahoo Mail 20 years ago and use the account only for authentication. Verification flag for these was introduced in 104727f889aaf31f917c8243014b161732b6e351 in 2012. Are you saying we don't trust any third-party server now and the e-mail should be validated in all cases?"}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-278693901"}}}</script>