Splync v1.1 ra mắt với tính năng xác minh email

Khi đăng ký Splync, bạn cần nhập địa chỉ email và mật khẩu. Như đã giới thiệu trong các bài viết trước, Splync v1.0 đã tích hợp các biện pháp bảo mật cơ bản. Dữ liệu của bạn được bảo vệ bởi HTTPS. Máy chủ của chúng tôi được bảo mật với SSH chỉ có nhà phát triển mới có thể truy cập. Mật khẩu của bạn không bao giờ được lưu trữ dạng văn bản gốc mà được mã hóa trong cơ sở dữ liệu. Tuy nhiên, v1.0 không có xác minh email trong quá trình tạo tài khoản. Splync, dưới dạng MVP (Sản phẩm khả thi tối thiểu), ra mắt mà không có tính năng này vì ứng dụng chỉ mới được bạn bè tôi biết đến. Trong v1.0, ứng dụng chỉ kiểm tra xem email nhập có chứa "@" giữa các ký tự và có duy nhất trong số các tài khoản hiện có hay không.

Nếu một ứng dụng cho phép tạo tài khoản mà không cần xác minh danh tính, có thể có người dùng email của người khác để tạo tài khoản riêng. Đó chính xác là điều có thể xảy ra. Dù không có nghĩa dữ liệu bị rò rỉ, nhưng bạn sẽ không thể đăng ký với email của mình nếu nó đã bị sử dụng. Ngoài ra, ai đó có thể tạo tài khoản bằng email hoàn toàn giả. Điều này có thể không nghiêm trọng lúc đầu, nhưng sẽ trở thành thảm họa khi nhà phát triển tìm cách tính phí hoặc liên hệ người dùng đó sau này. Tôi thậm chí không biết người đó thực sự là ai! Vì vậy, xác minh email là bước tiếp theo cho Splync.

Trong Splync v1.1, khi người dùng mới đăng ký, ứng dụng tự động gửi email đến địa chỉ vừa nhập. Email này chứa liên kết xác minh độc nhất, tự động tạo ra. Bằng cách nhấp vào liên kết đó, người dùng xác nhận rằng họ thực sự truy cập được tài khoản email đó. Sau khi được xác minh, máy chủ kích hoạt tài khoản người dùng và lưu trong cơ sở dữ liệu như một tài khoản hợp lệ, đã xác thực. Nghe quen thuộc không? Quá trình này đảm bảo rằng mỗi tài khoản trong Splync thuộc về một người thực, có thể liên lạc được — một bước nhỏ nhưng quan trọng để xây dựng cộng đồng đáng tin cậy. Hãy cùng tìm hiểu cách thực hiện quy trình này từ góc độ kỹ thuật.

Hệ thống backend của Splync sử dụng Python/FastAPI, và ứng dụng di động được xây dựng với SwiftUI. Ứng dụng chỉ xử lý giao diện người dùng, trong khi logic xác minh và thông tin nhạy cảm được giữ an toàn trên máy chủ. Trong v1.1, chúng tôi thêm bước xác minh email tiêu chuẩn giữa "người dùng chưa xác minh" và "người dùng đã xác minh." Khi người dùng mới đăng ký, ứng dụng gửi dữ liệu nhập vào máy chủ. Máy chủ có cơ sở dữ liệu MariaDB. Nó lưu người dùng dưới dạng chưa xác minh vào cơ sở dữ liệu. Mật khẩu được mã hóa và lưu trữ, nhưng tài khoản chưa được kích hoạt. Lúc đó, máy chủ cũng tạo ra một mã xác minh độc nhất có thời hạn hết hạn. Sau đó, sử dụng máy chủ SMTP (Giao thức Truyền thư Đơn giản), máy chủ gửi email xác minh chứa liên kết bảo mật, chỉ dùng một lần. Khi người dùng mở liên kết, máy chủ kiểm tra mã có hợp lệ và chưa hết hạn. Khi được xác minh, tài khoản trở nên hoạt động, và người dùng có thể đăng nhập bình thường từ ứng dụng. Điều này giữ cho xác thực vừa an toàn vừa nhẹ nhàng.

Nếu những cái tên này nghe như mật mã, đừng lo — chúng chỉ là công cụ giúp hệ thống hoạt động cùng nhau. Hãy hình dung quá trình đăng ký của Splync giống như một trung tâm hỗ trợ khách hàng xác minh danh tính ai đó. “Bạn có thể cho tôi biết tên và địa chỉ email của bạn được không?” SwiftUI, nhân viên hỗ trợ dễ mến ở quầy lễ tân, hỏi. Bạn cung cấp thông tin của mình, và cô ấy nói, “Bạn vui lòng chờ một chút nhé?” Cô ngay lập tức chuyển tiếp dữ liệu đến FastAPI, hệ thống điện thoại nội bộ của văn phòng. FastAPI kết nối cô với Python, chuyên gia hậu trường phụ trách xác minh. Python kiểm tra với MariaDB, cơ sở dữ liệu khách hàng, để lưu thông tin của bạn một cách an toàn — đánh dấu trạng thái của bạn là “chưa xác minh.” Sau đó, Python yêu cầu SMTP, sứ giả bên ngoài, gửi email xác nhận kèm liên kết bảo mật cho bạn. Khi bạn nhấp vào liên kết, Python xác minh rằng nó hợp lệ và cập nhật hồ sơ của bạn trong MariaDB thành “đã xác minh.” Cuối cùng, FastAPI cho nhân viên biết rằng danh tính của bạn đã được xác nhận, và tài khoản của bạn hiện đang hoạt động. Các phần này cùng nhau tạo nên quá trình xác minh của Splync vừa giống con người vừa an toàn.

Xác minh email có thể là một tính năng nhỏ, nhưng nó thay đổi mọi thứ về sự tin cậy. Nó đánh dấu thời điểm Splync phát triển từ một dự án cá nhân giữa bạn bè thành một ứng dụng công cộng mà ai cũng có thể tham gia tự tin. Gửi liên kết xác minh qua SMTP thậm chí như cái bắt tay đầu tiên của Splync với người dùng mới. Ẩn sau đó, tính năng này đặt nền tảng cho các cải tiến trong tương lai — đặt lại mật khẩu, xác thực đa yếu tố và khôi phục tài khoản. Mỗi lớp bảo mật xây dựng trên lớp trước đó. Với xác minh email, Splync v1.1 tiến thêm một bước ý nghĩa — làm cho quản lý chi tiêu chung không chỉ tiện lợi mà còn thực sự đáng tin cậy.