Splync v1.1 é Lançado com Verificação de E-mail

Ao se inscrever no Splync, você deve informar seu endereço de e-mail e senha. Como mencionei em artigos anteriores, o Splync v1.0 já incluía medidas básicas de segurança. A transferência de dados era protegida por HTTPS. Nosso servidor estava protegido com SSH, de modo que ninguém além do desenvolvedor pudesse acessá-lo. Sua senha nunca era armazenada em texto simples, mas sim criptografada no banco de dados para que ninguém pudesse decodificá-la. No entanto, o segredo do v1.0 era que não havia verificação de e-mail no processo de criação de conta. Splync, como um MVP (Produto Mínimo Viável), foi lançado sem esse recurso porque o aplicativo ainda estava em um estágio em que apenas meus amigos sabiam de sua existência. No v1.0, o app apenas verificava se o e-mail inserido continha um “@” entre cadeias de letras e se era único entre as contas existentes.

Se um aplicativo permite que usuários criem uma conta sem verificar sua identidade, é fácil imaginar alguém usando o e-mail de outra pessoa para criar sua própria conta. É exatamente isso que poderia acontecer. Embora isso não signifique que seus dados vazariam, significa que você não poderia se registrar com seu próprio endereço de e-mail se ele já tivesse sido usado. Além disso, alguém poderia criar uma conta usando um e-mail totalmente fictício. Isso pode não parecer sério a princípio, mas se tornaria um desastre quando o desenvolvedor tentasse cobrar ou contatar esse usuário mais tarde. Eu nem saberia quem essa pessoa realmente é! Portanto, a verificação de e-mail foi o próximo passo para o Splync.

No Splync v1.1, quando um novo usuário se inscreve, o app envia automaticamente um e-mail para o endereço inserido. Esse e-mail contém um link de verificação único, gerado automaticamente. Ao clicar nesse link, o usuário confirma que realmente tem acesso àquela conta de e-mail. Uma vez verificado, o servidor ativa a conta do usuário e a armazena no banco de dados como um usuário válido e autenticado. Parece familiar, não é? Esse processo garante que cada conta no Splync pertença a uma pessoa real e acessível — um pequeno mas essencial passo para construir uma comunidade confiável. Vamos dar uma olhada mais de perto em como esse fluxo é implementado do ponto de vista técnico.

O backend do Splync usa Python/FastAPI, e o app móvel é construído com SwiftUI. O app lida apenas com a interface do usuário, enquanto a lógica de verificação e as credenciais sensíveis permanecem seguras no servidor. No v1.1, adicionamos uma etapa padrão de verificação de e-mail entre “usuário não verificado” e “usuário verificado”. Quando um novo usuário se cadastra, o app envia os dados inseridos para o servidor. O servidor tem um banco de dados MariaDB. Ele armazena o usuário como não verificado no banco de dados. A senha é criptografada e salva, mas a conta ainda não está ativa. Nesse momento, o servidor também gera um token de verificação único com um tempo de expiração. Em seguida, usando um servidor SMTP (Protocolo Simples de Transferência de Correio), o servidor envia um e-mail de verificação contendo um link seguro de uso único. Quando o usuário abre o link, o servidor verifica se o token é válido e não expirou. Uma vez verificado, a conta se torna ativa, e o usuário pode entrar normalmente no app. Isso mantém a autenticação segura e leve.

Se isso soa como um código secreto, não se preocupe — são apenas as ferramentas que fazem o sistema funcionar em conjunto. Pense no fluxo de inscrição do Splync como um centro de suporte ao cliente verificando a identidade de alguém. “Posso ter seu nome e endereço de e-mail?”, pergunta o SwiftUI, o simpático atendente na recepção. Você informa seus dados, e ela diz: “Pode aguardar um momento, por favor?” Ela imediatamente os encaminha para o FastAPI, o sistema telefônico interno do escritório. O FastAPI a conecta ao Python, o especialista de retaguarda responsável pela verificação. O Python verifica com o MariaDB, o banco de dados de clientes, para registrar suas informações com segurança — marcando seu status como “não verificado”. Em seguida, o Python pede ao SMTP, o mensageiro externo, que envie um e-mail de confirmação com um link seguro. Quando você clica no link, o Python verifica se é válido e atualiza seu registro no MariaDB para “verificado”. Finalmente, o FastAPI avisa ao atendente que sua identidade foi confirmada, e sua conta agora está ativa. Juntas, essas partes tornam o processo de verificação do Splync ao mesmo tempo humano e seguro.

A verificação de e-mail pode parecer uma pequena funcionalidade, mas muda tudo em termos de confiança. Marca o momento em que o Splync evolui de um projeto pessoal entre amigos para um aplicativo público onde qualquer um pode se inscrever com confiança. Enviar um link de verificação via SMTP até parece o primeiro aperto de mão do Splync com um novo usuário. Nos bastidores, esse recurso prepara o terreno para melhorias futuras — redefinições de senha, autenticação multifator e recuperação de conta. Cada camada de segurança se baseia na anterior. Com a verificação de e-mail, o Splync v1.1 dá um passo significativo à frente — tornando o gerenciamento de despesas compartilhadas não apenas conveniente, mas verdadeiramente confiável.