Думаю самый оптимальный вариант...

Именно так и сделал в итоге. Реализовано здесь.

Dr2005alex спасибо за плагин! 

Думаю самый оптимальный вариант...

Опять-таки данные, приходящие от логинзы (как и другие данные приходящие из вне) в теории тоже можно подделать - желательно и их как-то проверять.

Но сейчас ведь данные полученные от Логинзы проверяются? Получается можно воспользоваться этим. Нужно лишь вставить свой код непосредственно перед функцией или даже в функцию, где собственно юзер создается.

Сессию рассматривал в первую очередь. Смущало в основном то, что она имеет ограничение по времени. Вдруг пользователь откроет этап правил и отвлечется, решив прочитать и и продолжить регистрацию позже...

PS: Подумал тут еще про один вариант. Можно добавить поле дополнительное юзеру и ставить в нем отметку - согласился с правилами или нет. Пока с правилами не согласился делать редирект юзеру на форму, где нужно принять правила.

Нужно что-то на стороне сервера. Сессия вполне подойдет

Опять-таки данные, приходящие от логинзы (как и другие данные приходящие из вне) в теории тоже можно подделать - желательно и их как-то проверять.

Меня волнует вопрос безопасности. Тут получается необходим промежуточный шаг (промежуточная страница). Чтобы ее добавить надо принятые с логинзы данные временно сохранить. На ум приходят три способа: 1. форма со скрытыми полями, 2. сессия, 3. добавление юзера первоначально в отдельную группу, а когда согласился с правилами - перенос в обычную группу пользователей.

Вопрос в общем-то теоретический... Как лучше и как безопаснее сделать? Что скажете?