Mi sono messo alla ricerca di una definizione formale del pattern di double opt-in senza alcun successo.

Nel frattempo ho individuato un interessante post di James Tauber su "Account Management Patterns" con una schematizzazione molto chiara dei meccanismi di autenticazione e una dissertazione sull'uso del GET per l'opt-in ("Don't Let Users Confirm Via HTTP GET").