🚀 [Feature] [WIP] Einladung neuer Nutzer zum Registrieren auf der DreamMall

[mahula]

🚀 Feature: Einladung neuer Nutzer zum Registrieren auf der DreamMall

Die DreamMall ist ein Einladungsnetzwerk. Jeder Nutzer verfügt ab Registrierung über 10 :question: Links zum Einladen - erreichbar über den DreamMall Button. Neue Nutzer können sich nur via Einladungslink einen Account anlegen. Einladungslinks verlieren Gültigkeit nach einmaliger Verwendung.

Als Nutzer ohne Account Will ich mittels Enladungslink einen Account anlegen können Um mit anderen Nutzern interagiern und die Funktionen der DreamMall nutzen zu können

Als registrierter Nutzer Will ich weitere Nutzer einladen, sich auf der DreamMall einen Account anzulegen Um mit ihnen zu interagiern und gemeinsam die Funktionen der DreamMall nutzen zu können

Fragen

• Via Einladungslink (gültig oder nicht) kommt man auf :question: a) die Registrierungsseite (mit Hinweis bei Ungültigkeit) b) eine Landing Page mit Begrüßung, Erklärung und Link zur Registrierungsseite / mit Hinweis bei Ungültigkeit

• Verknüpfung zwischen einladendem und eingeladenem Nutzer: Wie wird diese Verknüpfung (inkl. des Einladungslinks) in der Software gespeichert :question:

• Soll der Tisch des eingeladenen neu registrierten Nutzers automatisch in der Tischliste des einladenden Nutzers angezeigt werden :question:

• Ist ein Ablaufdatum für die Einladungslink nötig - wie realisieren :question:

• Einladungslinkliste im DreamMall Button/Cockpit - graphische Unterstützung der Nutzer: :question: Wie wird für Nutzer sichtbar/nachvollziehbar, dass ein Link als Einladung verwendet wurde, um

  • nicht versehentlich selben Link mehrfach als Einladung zu verwenden
  • Link, der nicht eingelöst wurde, anderweitig zur Einladung verwenden zu können

Szenarien

Szenario: Eingeloggter Nutzer sieht seine Einladungslinks im DreamMall button Menü/Cockpit
  Angenommen ich bin eingeloggt
  Und ich habe noch Einladungslinks zur Verfügung
  Wenn ich den DreamMall Button klicke
  Dann werden mir die verfügbaren Einladungslinks angezeigt

Szenario: Erfolgreiche Registrierung via Enladungslink
  # siehe Fragen

Szenario: Registrierung mit verfallenem Einladungslink nicht möglich
  Wenn ich einen nicht mehr gültigen Einladungslink im Browser öffne
  # siehe Fragen

[Elweyn]

Wie setzen wir es Technisch um?

Sender Seite:

• Liste an 10 einladungslinks die verschiedene Statis haben können (OFEN, GENUTZT)

Empfänger Seite:

• Gültiger Link: Der empfänger eines link wird auf eine Registrierungsseite geleitet. Darauf kann er dann entweder sich ein Account erstellen oder zurück zur Anmelde Seite.
• Ungültiger Link: Der empfänger dieses Links kommt auf eine Seite die in darauf hinweißt dass der Link schonmal genutzt wurde oder das es diesen Link nicht gibt

Können wir mit einer API von Authentik uns einladungslinks generieren lassen?

https://docs.goauthentik.io/docs/flow/stages/invitation/ beschreibt den invitation flow nicht besonders gut und da steht noch nichts davon wie da links mit generiert werden. https://docs.goauthentik.io/docs/user-group-role/user/invitations hier wird ein händisches Einladen vorgestellt was meiner Meinung nicht erwünscht sein wird. https://docs.goauthentik.io/docs/security/CVE-2022-23555#token-reuse-in-invitation-urls-leads-to-access-control-bypass-via-the-use-of-a-different-enrollment-flow hier wird über Sicherheitsbedenken und lösungen dazu gesprochen

API Dokumentation

https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-create https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-list https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-retrieve https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-update https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-partial-update https://docs.goauthentik.io/developer-docs/api/reference/stages-invitation-invitations-destroy

Können wir prüfen ob ein einladungslink noch gültig ist?

In der API Dokumentation wird jeder einladung mit einem Expire Datum bestückt und vielen weiteren möglichkeiten.

[ulfgebhardt]

Warum sind die Anzahl der Einladungslinks begrenzt?

Was hat der Nutzer davon eingeladen zu werden?

• Kann man sich nicht registrieren?
  • Was ist der Unterschied?

[mahula]

Warum ist die Anzahl der Einladungslinks begrenzt?

Das wurde so konzipiert.

Was hat der Nutzer davon eingeladen zu werden?

• Kann man sich nicht registrieren?
• Was ist der Unterschied?

Die DreamMall ist als Einladungsnetzwerk geplant. Man wird sich vorerst nicht einfach einen Account anlegen können. Via Einladungslink eines bereits registrierten Nutzers kann man sich auf der DreamMall einen Account anlegen.

[ulfgebhardt]

• Entscheidung: Ein Nutzer kann unbegrenzt andere Nutzer einladen, da sonst Probleme mit Powerusers entstehen (zB. Alle Mitarbeiter einladen)
• Entscheidung: Eine freie Registrierung mit 7 Tagen Testversion soll möglich sein
• Entscheidung: Das Thema der Belohnung wird vertagt und wird nicht Teil des Releases
• Entscheidung: Bei einer Einladung wird der Name des Einladenden angezeigt
• Entscheidung: Wer wen eingeladen hat wird innerhalb der Dreammall nicht angezeigt, wir möchten diese Daten aber gerne erfassen zu späteren Nutzung

[ulfgebhardt]

Es bleibt bei den oben stehenden Entscheidungen. Wir haben entschieden, dass wir Einladungen zuerst ohne Begrenzung umsetzen und jedem Nutzer erlauben sich zu registrieren. Eine Beschränkung führen wir zu einem späterem Zeitpunkt ein, wenn wir unsere basis-Nutzergruppe gefunden haben und deren Raum schützen möchten.