Splync v1.1 a fost lansat cu verificare prin email

Când te înregistrezi pentru Splync, ți se cere să introduci adresa de email și parola. Așa cum am menționat în articolele anterioare, Splync v1.0 includea deja măsuri de securitate de bază. Transferul de date era protejat prin HTTPS. Serverul nostru era securizat cu SSH, astfel încât nimeni în afară de dezvoltator nu putea accesa. Parola ta nu a fost niciodată stocată în text simplu, ci era criptată în baza de date astfel încât nimeni să nu o poată decodifica. Totuși, secretul versiunii v1.0 era că nu avea verificare prin email în procesul de creare a contului. Splync, ca un MVP (Produs Minim Viabil), a fost lansat fără această funcție pentru că aplicația era încă într-o etapă în care doar prietenii mei știau despre existența ei. În v1.0, aplicația verifica doar dacă emailul introdus conținea un „@” între șiruri de litere și dacă era unic printre conturile existente.

Dacă o aplicație permite utilizatorilor să-și creeze un cont fără a-și verifica identitatea, e ușor de imaginat că cineva ar putea folosi adresa de email a altcuiva pentru a-și crea propriul cont. Exact asta s-ar putea întâmpla. Deși asta nu înseamnă că datele tale ar fi scurse, înseamnă că nu te-ai putea înregistra cu propria adresă de email dacă a fost deja folosită. În plus, cineva ar putea crea un cont folosind o adresă de email complet fictivă. Poate nu pare serios la început, dar ar deveni un dezastru odată ce dezvoltatorul încearcă să taxeze sau să contacteze acel utilizator mai târziu. Nici măcar nu aș ști cine este acea persoană! Așadar, verificarea prin email a fost următorul pas pentru Splync.

În Splync v1.1, când un nou utilizator se înregistrează, aplicația trimite automat un email la adresa introdusă. Acest email conține un link unic, generat automat, de verificare. Prin accesarea acelui link, utilizatorul confirmă că are cu adevărat acces la acel cont de email. Odată verificat, serverul activează contul utilizatorului și îl stochează în baza de date ca utilizator valid, autentificat. Sună cunoscut, nu-i așa? Acest proces asigură că fiecare cont din Splync aparține unei persoane reale, accesibile — un pas mic, dar vital, spre construirea unei comunități de încredere. Haide să vedem mai îndeaproape cum este implementat acest flux din perspectivă tehnică.

Backend-ul Splync folosește Python/FastAPI, iar aplicația mobilă este construită cu SwiftUI. Aplicația gestionează doar interfața de utilizator, în timp ce logica de verificare și datele sensibile rămân în siguranță pe server. În v1.1, am adăugat un pas standard de verificare prin email între „utilizator neconfirmat” și „utilizator confirmat”. Când un nou utilizator se înregistrează, aplicația trimite datele introduse către server. Serverul are o bază de date MariaDB. Stochează utilizatorul ca neconfirmat în baza de date. Parola este criptată și salvată, dar contul nu este încă activ. În acel moment, serverul generează și un token unic de verificare cu un timp de expirare. Apoi, folosind un server SMTP (Simple Mail Transfer Protocol), serverul trimite un email de verificare care conține un link sigur, de unică folosință. Când utilizatorul deschide linkul, serverul verifică dacă tokenul este valid și neexpirat. Odată verificat, contul devine activ, iar utilizatorul se poate autentifica normal din aplicație. Acest lucru menține autentificarea sigură și ușoară.

Dacă acestea sună ca un cod secret, nu te îngrijora — sunt doar uneltele care fac sistemul să funcționeze împreună. Gândește-te la fluxul de înregistrare al Splync ca la un centru de suport clienți care verifică identitatea cuiva. „Îmi puteți spune numele și adresa de email?” întreabă SwiftUI, operatorul prietenos de la recepție. Îi spui detaliile tale, iar ea spune „Vă rog să așteptați un moment”. Imediat le transmite către FastAPI, sistemul intern de telefonie al biroului. FastAPI o conectează la Python, specialistul în verificări din biroul din spate. Python verifică cu MariaDB, baza de date cu clienți, pentru a înregistra informațiile tale în siguranță — marcând statutul tău ca „neconfirmat”. Apoi Python cere SMTP, mesagerul extern, să îți trimită un email de confirmare cu un link sigur. Când dai click pe link, Python verifică faptul că este valid și îți actualizează înregistrarea în MariaDB la „confirmat”. În final, FastAPI îl informează pe operator că identitatea ta a fost confirmată, iar contul tău este acum activ. Împreună, aceste părți fac procesul de verificare al Splync atât uman, cât și sigur.

Verificarea prin email poate părea o funcție mică, dar schimbă totul în ceea ce privește încrederea. Marchează momentul în care Splync evoluează de la un proiect personal printre prieteni la o aplicație publică unde oricine se poate alătura cu încredere. Trimiterea unui link de verificare prin SMTP chiar pare ca prima strângere de mână a Splync cu un nou utilizator. În culise, această funcție pune bazele pentru îmbunătățiri viitoare — resetarea parolelor, autentificarea multifactorială și recuperarea conturilor. Fiecare strat de securitate se construiește pe cel anterior. Cu verificarea prin email, Splync v1.1 face un pas semnificativ înainte — făcând gestionarea cheltuielilor partajate nu doar convenabilă, ci cu adevărat de încredere.