Feature/auth-comp

[Dot-P]

認証完了通知

概要

• mail_senderを再構築し、柔軟性のあるメソッドになるよう修正
• 認証完了通知の処理を追加

  テスト状態

  目視での確認

  要望

  コードレビュー 以下の質問への回答

  質問

  認証完了メールからロッカー番号登録にどうやって処理を移行するのか

現状は、

• メールにリンクが送られる(json付加が難しい)
• ロッカー番号登録はjsonをpostメソッドで受け取る

となり矛盾が生じます。 クエリパラメータorパスパラメータで処理をするのが妥当であると思うのですが、 代替策や懸念点があれば指摘してほしいです。

[Dot-P]

app_urlについては仮なので、質問内容が解決したら修正します。

[Lit-innosence]

コードレビュー

問題ないと思います。

回答

ロッカー登録用の学籍番号をクエリパラメータやパスパラメータで考えられる懸念点は、他者による不正なアクセスがあげられると思います。 これを避けるためには、student_pairテーブルにtokenの属性を付加し、それを認証と同様にクエリパラメータとする形がとれるかと。

[Dot-P]

token属性の付与は妥当であると思います。 しかし、student_pairに付属した場合、tokenの消去が不可能になるのではないでしょうか。

[Lit-innosence]

確かにそうですね、セキュリティの観点からtokenの長期保存は避けたいので、だとすれば新たに認証とロッカー登録の間のtokenを保存するテーブルを作成し、そこに保存する形ではどうでしょうか。

[Dot-P]

やっぱりそれが妥当ですよね。 その方向性でコードを追記します。

[Dot-P]

今、思ったんやが、co_tokenをNULL許してauthに書いてもよくないか？ もう一つテーブル作るのは冗長な気がする

[Lit-innosence]

その方法でもよさそうだね。 テーブル一つ増やすよりも単純で実装が簡単でもあるし

[Dot-P]

auth-check完成

概要

• tokenパラメータの追加
• auth-checkの追加

  テスト状態

  目視での確認

  要望

  コードレビュー + ローカルでの確認 コードレビューでは特に Jsonレスポンス (初使用) に注意してください。

[Dot-P]

これで完成なので、OKならマージをお願いします