Splync v1.1 Dilancarkan dengan Pengesahan E-mel

Apabila anda mendaftar untuk Splync, anda diminta memasukkan alamat e-mel dan kata laluan. Seperti yang saya perkenalkan dalam artikel terdahulu, Splync v1.0 sudah pun termasuk langkah keselamatan asas. Pemindahan data anda dilindungi oleh HTTPS. Pelayan kami dilindungi dengan SSH supaya tiada sesiapa kecuali pembangun boleh mengaksesnya. Kata laluan anda tidak pernah disimpan dalam teks biasa tetapi telah dihash dalam pangkalan data supaya tiada sesiapa boleh mendekodkannya. Namun, rahsia v1.0 ialah ia tiada pengesahan e-mel dalam proses penciptaan akaun. Splync, sebagai MVP (Minimum Viable Product), dikeluarkan tanpa ciri ini kerana aplikasi masih di peringkat di mana hanya rakan saya yang tahu mengenai kewujudannya. Dalam v1.0, aplikasi hanya memeriksa sama ada e-mel yang dimasukkan mengandungi “@” antara rentetan huruf dan sama ada ia unik dalam kalangan akaun sedia ada.

Jika aplikasi membenarkan pengguna mencipta akaun tanpa mengesahkan identiti mereka, mudah untuk membayangkan seseorang menggunakan alamat e-mel orang lain untuk mencipta akaun mereka sendiri. Itulah yang boleh berlaku. Walaupun ini tidak bermaksud data anda akan bocor, ia bermaksud anda tidak boleh mendaftar dengan alamat e-mel anda sendiri jika ia sudah digunakan. Selain itu, seseorang boleh mencipta akaun menggunakan alamat e-mel yang sepenuhnya fiksyen. Ini mungkin kelihatan tidak serius pada awalnya, tetapi ia akan menjadi bencana apabila pembangun cuba mengenakan caj atau menghubungi pengguna tersebut kemudian. Saya tidak akan tahu siapa sebenarnya orang itu! Jadi, pengesahan e-mel adalah langkah seterusnya untuk Splync.

Dalam Splync v1.1, apabila pengguna baharu mendaftar, aplikasi secara automatik menghantar e-mel ke alamat yang mereka masukkan. E-mel ini mengandungi pautan pengesahan unik yang dijana secara automatik. Dengan mengklik pautan itu, pengguna mengesahkan mereka benar-benar mempunyai akses ke akaun e-mel tersebut. Setelah disahkan, pelayan mengaktifkan akaun pengguna dan menyimpannya dalam pangkalan data sebagai pengguna yang sah dan sahih. Kedengaran biasa, bukan? Proses ini memastikan setiap akaun dalam Splync dimiliki oleh orang sebenar yang boleh dihubungi — langkah kecil tapi penting ke arah membina komuniti yang boleh dipercayai. Mari kita lihat lebih dekat bagaimana aliran ini dilaksanakan dari perspektif teknikal.

Bahagian belakang Splync menggunakan Python/FastAPI, dan aplikasi mudah alih dibina dengan SwiftUI. Aplikasi hanya menguruskan antara muka pengguna, manakala logik pengesahan dan kelayakan sensitif kekal selamat di pelayan. Dalam v1.1, kami menambah langkah pengesahan e-mel standard antara "pengguna tidak sah" dan "pengguna yang sah." Apabila pengguna baharu mendaftar, aplikasi menghantar data yang dimasukkan ke pelayan. Pelayan mempunyai pangkalan data MariaDB. Ia menyimpan pengguna sebagai tidak sah dalam pangkalan data. Kata laluan dihash dan disimpan, tetapi akaun belum aktif. Pada saat itu, pelayan juga menjana token pengesahan unik dengan masa tamat. Seterusnya, menggunakan pelayan SMTP (Simple Mail Transfer Protocol), pelayan menghantar e-mel pengesahan mengandungi pautan sekali sahaja yang selamat. Apabila pengguna membuka pautan itu, pelayan memeriksa bahawa token adalah sah dan belum tamat. Setelah disahkan, akaun menjadi aktif, dan pengguna boleh log masuk secara normal dari aplikasi. Ini memastikan pengesahan selamat dan ringan.

Jika ini kedengaran seperti kod rahsia, jangan risau — ia hanya alat yang membuat sistem berfungsi bersama. Anggap aliran pendaftaran Splync seperti pusat sokongan pelanggan mengesahkan identiti seseorang. “Boleh saya dapatkan nama dan alamat e-mel anda?” tanya SwiftUI, operator mesra di meja depan. Anda memberitahunya butiran anda, dan dia berkata, “Boleh anda tunggu sebentar?” Dia segera menghantar kepada FastAPI, sistem telefon dalaman pejabat. FastAPI menghubungkannya kepada Python, pakar belakang pejabat yang bertanggungjawab untuk pengesahan. Python memeriksa dengan MariaDB, pangkalan data pelanggan, untuk merekod maklumat anda dengan selamat — menandakan status anda sebagai "tidak sah." Kemudian Python meminta SMTP, utusan luar, untuk menghantar e-mel pengesahan kepada anda dengan pautan selamat. Apabila anda mengklik pautan itu, Python mengesahkan bahawa ia sah dan mengemas kini rekod anda dalam MariaDB kepada "sah." Akhirnya, FastAPI memberitahu operator bahawa identiti anda telah disahkan, dan akaun anda kini aktif. Bersama-sama, bahagian-bahagian ini menjadikan proses pengesahan Splync seperti manusia dan selamat.

Pengesahan e-mel mungkin kelihatan seperti ciri kecil, tetapi ia mengubah segala-galanya tentang kepercayaan. Ia menandakan saat Splync berkembang dari projek peribadi di kalangan rakan kepada aplikasi awam di mana sesiapa boleh menyertai dengan yakin. Menghantar pautan pengesahan melalui SMTP bahkan terasa seperti jabat tangan pertama Splync dengan pengguna baharu. Di belakang tabir, ciri ini meletakkan asas untuk penambahbaikan masa depan — tetapan semula kata laluan, pengesahan berbilang faktor, dan pemulihan akaun. Setiap lapisan keselamatan dibina di atas yang sebelumnya. Dengan pengesahan e-mel, Splync v1.1 mengambil langkah bermakna ke hadapan — menjadikan pengurusan perbelanjaan bersama bukan sahaja mudah tetapi benar-benar boleh dipercayai.