Closed Dot-P closed 1 week ago
app_urlについては仮なので、質問内容が解決したら修正します。
問題ないと思います。
ロッカー登録用の学籍番号をクエリパラメータやパスパラメータで考えられる懸念点は、他者による不正なアクセスがあげられると思います。 これを避けるためには、student_pairテーブルにtokenの属性を付加し、それを認証と同様にクエリパラメータとする形がとれるかと。
token属性の付与は妥当であると思います。 しかし、student_pairに付属した場合、tokenの消去が不可能になるのではないでしょうか。
確かにそうですね、セキュリティの観点からtokenの長期保存は避けたいので、だとすれば新たに認証とロッカー登録の間のtokenを保存するテーブルを作成し、そこに保存する形ではどうでしょうか。
やっぱりそれが妥当ですよね。 その方向性でコードを追記します。
今、思ったんやが、co_tokenをNULL許してauthに書いてもよくないか? もう一つテーブル作るのは冗長な気がする
その方法でもよさそうだね。 テーブル一つ増やすよりも単純で実装が簡単でもあるし
目視での確認
コードレビュー + ローカルでの確認 コードレビューでは特に Jsonレスポンス (初使用) に注意してください。
これで完成なので、OKならマージをお願いします
認証完了通知
概要
テスト状態
目視での確認
要望
コードレビュー 以下の質問への回答
質問
認証完了メールからロッカー番号登録にどうやって処理を移行するのか
現状は、
となり矛盾が生じます。 クエリパラメータorパスパラメータで処理をするのが妥当であると思うのですが、 代替策や懸念点があれば指摘してほしいです。