Splync v1.1 è uscito con la verifica email

Quando ti iscrivi a Splync, ti viene chiesto di inserire il tuo indirizzo email e password. Come ho spiegato in articoli precedenti, Splync v1.0 includeva già misure di sicurezza di base. Il trasferimento dei tuoi dati era protetto da HTTPS. Il nostro server era sicuro con SSH, così nessuno tranne lo sviluppatore poteva accedervi. La tua password non veniva mai memorizzata in chiaro, ma era crittografata nel database, quindi nessuno poteva decodificarla. Tuttavia, il punto debole della v1.0 era l'assenza della verifica email nel processo di creazione dell'account. Splync, essendo un MVP (Minimum Viable Product), è stato rilasciato senza questa funzione perché l'app era ancora in una fase in cui solo i miei amici erano a conoscenza della sua esistenza. Nella v1.0, l'app verificava semplicemente se l'email inserita contenesse una “@” tra stringhe di lettere e se fosse unica tra gli account esistenti.

Se un'app permette agli utenti di creare un account senza verificare la loro identità, è facile immaginare qualcuno che utilizza l'indirizzo email di un'altra persona per creare un proprio account. È esattamente ciò che potrebbe accadere. Anche se questo non significa che i tuoi dati verranno divulgati, significa che non potresti registrarti con il tuo indirizzo email se fosse già stato usato. Inoltre, qualcuno potrebbe creare un account utilizzando un indirizzo email completamente inventato. Potrebbe non sembrare grave all'inizio, ma diventerebbe un disastro quando lo sviluppatore proverà a fatturare o contattare quell'utente più tardi. Non potrei nemmeno sapere chi sia davvero quella persona! Quindi, la verifica email è stata il passo successivo per Splync.

In Splync v1.1, quando un nuovo utente si iscrive, l'app invia automaticamente un'email all'indirizzo inserito. Questa email contiene un link di verifica unico e autogenerato. Cliccando su quel link, l'utente conferma di avere veramente accesso a quell'account email. Una volta verificato, il server attiva l'account dell'utente e lo memorizza nel database come utente valido e autenticato. Sembra familiare, vero? Questo processo assicura che ogni account in Splync appartenga a una persona reale e raggiungibile — un piccolo ma fondamentale passo verso la costruzione di una comunità affidabile. Diamo un'occhiata più da vicino a come questo flusso è implementato dal punto di vista tecnico.

Il backend di Splync utilizza Python/FastAPI e l'app mobile è costruita con SwiftUI. L'app gestisce solo l'interfaccia utente, mentre la logica di verifica e le credenziali sensibili rimangono al sicuro sul server. Nella v1.1, abbiamo aggiunto un passaggio di verifica email standard tra "utente non verificato" e "utente verificato". Quando un nuovo utente si iscrive, l'app invia i dati inseriti al server. Il server ha un database di MariaDB. Memorizza l'utente come non verificato nel database. La password viene crittografata e salvata, ma l'account non è ancora attivo. In quel momento, il server genera anche un token di verifica unico con un tempo di scadenza. Successivamente, utilizzando un server SMTP (Simple Mail Transfer Protocol), il server invia un'email di verifica contenente un link sicuro e monouso. Quando l'utente apre il link, il server verifica che il token sia valido e non scaduto. Una volta verificato, l'account diventa attivo e l'utente può accedere normalmente dall'app. Questo mantiene l'autenticazione sicura e leggera.

Se questi sembrano un codice segreto, non preoccuparti — sono solo gli strumenti che fanno funzionare il sistema insieme. Immagina il flusso di registrazione di Splync come un centro assistenza clienti che verifica l'identità di qualcuno. "Posso avere il tuo nome e indirizzo email?" chiede SwiftUI, l'operatore amichevole alla reception. Le fornisci i tuoi dettagli e lei dice: "Puoi attendere un momento, per favore?" Li inoltra immediatamente a FastAPI, il sistema telefonico interno dell'ufficio. FastAPI la connette a Python, lo specialista del back-office incaricato della verifica. Python verifica con MariaDB, il database clienti, per registrare le tue informazioni in modo sicuro — segnando il tuo stato come "non verificato". Poi Python chiede a SMTP, il messaggero esterno, di inviarti un'email di conferma con un link sicuro. Quando clicchi sul link, Python verifica che sia valido e aggiorna il tuo record in MariaDB a "verificato". Infine, FastAPI fa sapere all'operatore che la tua identità è stata confermata e il tuo account è ora attivo. Insieme, queste parti rendono il processo di verifica di Splync sia umano che sicuro.

La verifica email può sembrare una piccola funzione, ma cambia tutto riguardo alla fiducia. Segna il momento in cui Splync si evolve da un progetto personale tra amici a un'app pubblica dove chiunque può unirsi con fiducia. Inviare un link di verifica tramite SMTP sembra persino come la prima stretta di mano di Splync con un nuovo utente. Dietro le quinte, questa funzione pone le basi per futuri miglioramenti — reimpostazioni della password, autenticazione a più fattori, e recupero dell'account. Ogni strato di sicurezza si costruisce su quello precedente. Con la verifica email, Splync v1.1 fa un passo significativo avanti — rendendo la gestione delle spese condivise non solo comoda, ma davvero affidabile.