Skip to content

Auth guest plus

Daniel Kerkmann requested to merge dmlk31/tc-server:auth-guest-plus into master

Critical Bugs

  • Wenn ein registrierter User seinen Account verifiziert, sich mit den Zugangsdaten unter /oauth/token anmeldet, bekommt er einen Access Token von einem ganz anderen User! (Bei der Testinstanz immer der User Gast)

Non critical bugs/features

  • oauth/upgrade -> Wenn eine E-Mail bereits belegt wurde, irgendeine passende "message" übergeben, dass die E-Mail bereits verwendet wird und man das nicht machen darf. String-Vorschlag: "message" : "email_already_in_use"
  • oauth/upgrade -> anstelle einer Exception (wenn eine Email bereits vorhanden ist) einen String- Vorschlag: "message" : "email_already_in_use"
  • oauth/reset -> nicht freigeschaltet
  • Passwort Reset beantragen: Funktioniert das auch ohne login? GLaube wir hatten das getestet und es ging nicht. Vielleicht, weil wir @swagger nicht das client:secret hatten.
  • E-Mail groß/kleinschreibung == anderer User. Dance@dance.de ist ein anderer User wie dance@dance.de -> sollte niemals möglich sein
  • Display name: "Gast" bei Login
  • Regulärer Ausdruck im Backend für pw? Wie habt ihr es eingerichtet? Wir haben: mindestens ein (groß oder klein) Buchstabe UND eine Zahl UND mind. 8 Zeichen (bis 64)
  • In der Email https anstelle von http als Link verwenden
  • Die Exceptions werden in production nicht ausgewertet, es gibt eigene Exceptions, allerdings haben die keinen Status Code response und keinen Text.
  • Die Route oauth/reset geht zwar, wirft aber einen 403 zurück, Justin meinte es liegt vielleicht an cors?
  • Eigenständige Route für "isVerified" -> simpler Call an das Backend um zu schauen, ob meine E-Mail für den derzeit genutzten account bestätigt wurde. Entfällt
    Route ist erreichbar unter /oauth/isverified und gibt einen false|true zurück.
  • isverified in der Profil Route anzeigen lassen
    Die Route /oauth/isverified soll ein JSON mit isverified anstelle des booleans zurück geben.
  • Recovery Code soll ein lesbarer Text sein, Kommentar zur Plugin-Seite steht im Code, muss nur eingebunden werden anstelle der UUID.
  • Die Route /oauth/delete/account ist ein POST-Request und sollte generell vielleicht anders genannt werden, ist allerdings fertig implementiert.
  • Lizenz-Header (Java Dateien sind erledigt, wie sieht es mit den
  • Swagger-Annotations für neue Controller und Routen
  • Redirect von der Bestätigungs-Seite zurück in die App (nur bei Mobile)
  • Fehlermeldungen nochmal überarbeiten
Edited by Robert Palm

Merge request reports