feat(user): authentification via un lien magique envoyé par email #804
Conversation
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
3 times, most recently
from
5a0c264 to
a581fcb
Compare
![github-advanced-security[bot]](https://avatars.githubusercontent.com/in/57789?s=60&v=4){kind=small}
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
130e2bb to
2b8ddfe
Compare
tonial
approved these changes
Nov 10, 2024
There was a problem hiding this comment.
Ça me parait bien !
Je pense que ça vaut le coup d'avoir un test sur l'envoi de lien et son sur ce qui se passe quand on clique dessus + vérifier qu'on ne peut pas réutiliser le même lien après s'être déconnecté (normalement le token dépend des camps de user, donc quand on change last_login ça devrait rendre les token précédemment générés obsolète, mais autant s'en assurer)
Je ne sais pas si c'est utile de vérifier si les tokens ont une durée de vie par contre.
Et un test qui rend explicite si un utilisateur ProConnect peut utiliser un lien magique serait sans doute utile au cas où.
tonial
reviewed
Nov 12, 2024
vincentporte
changed the title
vincentporte
added
recette-jetable
vincentporte
force-pushed
the
729-user-bascule-ic-proc
branch
from
9a74169 to
a9c801e
Compare
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
334f141 to
691a0a5
Compare
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
02bc25b to
a7bfae4
Compare
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
036b3bc to
95e956e
Compare
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
3 times, most recently
from
df6251e to
4556d2b
Compare
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
4556d2b to
35a9a3c
Compare
|
🥁 La recette jetable est prête ! 👉 Je veux tester cette PR ! |
vincentporte
force-pushed
the
vp/729-part2-email-magic-link
branch
from
35a9a3c to
ef5e47b
Compare
vincentporte
pushed a commit
that referenced
this pull request
Nov 14, 2024
🤖 I have created a release *beep* *boop* --- ## [2.17.0](v2.16.0...v2.17.0) (2024-11-14) ### Features * ajout d'une balise youtube dans le markdown ([#810](#810)) ([adbff17](adbff17)) * **forum_conversation:** suppression du triage avant de pouvoir poser une question ([#818](#818)) ([f1b64c6](f1b64c6)) * **stats:** ajout de la colonne categorie dans les stats des fiches pratiques ([#812](#812)) ([c072b5f](c072b5f)) * **user:** authentification via un lien magique envoyé par email ([#804](#804)) ([64e04a3](64e04a3)) * **user:** basculer l'authentification vers ProConnect ([#731](#731)) ([5429fce](5429fce)) ### Bug Fixes * **attachment:** affichage des liens vers les fichiers des messages ([#806](#806)) ([7c34605](7c34605)) * **metabase:** deplanification d'une tâche résiduelle ([#808](#808)) ([692a274](692a274)) --- This PR was generated with [Release Please](https://github.com/googleapis/release-please). See [documentation](https://github.com/googleapis/release-please#release-please). Co-authored-by: github-actions[bot] <41898282+github-actions[bot]@users.noreply.github.com>
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
Description
🎸 En complément de l'authentification via
Pro Connect(#731), permettre à un utlisateur de s'authentifier via un lien magique envoyé par email.🎸 Nécessaire pour les utilisateurs n'appartenant pas à une organisation, car ils ne peuvent pas utiliser
Pro Connect🐻 La vue principale de connexion est désormais
LoginView. Elle permet de recevoir un magic link ou de se connecter avec ProConnect.🐻 Si l'utilisateur se connecte avec un lien magic, une variable est positionnée dans sa session pour determiner le mécanisme de déconnection à actionner.
🐻
LoginViewn'est plus accessible si l'utilisateur est authentifié.Un utilisateur demande un magic link, puis se connecter avec ProConnect, puis clique sur le magic link. La déconnection pourrait être celle du magic link (pas de déco ProConnect). Pas d'effet de bord catastrophique attendu.
Type de changement
🎢 Nouvelle fonctionnalité (changement non cassant qui ajoute une fonctionnalité).
🚧 technique
Points d'attention
🦺 ajout de la méthode
clean_next_urlpour limiter les risques sur les redirections🦺 en dev, les magic link sont enregistrés dans
EmailSentTrack🦺 ref https://www.honeybadger.io/blog/options-for-passwordless-authentication-in-django/
🦺 ref https://stackoverflow.com/a/46236585
🦺 pour une PR suivante : ajouter le contrôle sur
BlockedEmailet surBlockedDomainNamepour prévenir d'eventuels spammersCaptures d'écran (optionnel)
LoginView
CreateUserView
Login Link Sent
