Project

General

Profile

Development #28853

Plutôt que de demander le mot de passe lors d'une suppression, lancer une réauthentification

Added by Benjamin Dauvergne 4 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
11 Dec 2018
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

Les méthodes d'authentification étant multiple demander le mot de passe pour la suppression d'un compte est contre-productive, à la place il faudrait demander une réauthentification si l'authentification est plus ancien qu'un certain seuil.

Le flowchart:
1. si GET
1.1. si dernière authentification < X minutes:
1.1.1. afficher un formulaire avec un jeton signé permettant le changement du mot de passe
2. si POST
1.2. sinon rediriger vers /login/?next=/accounts/delete/ avec un message indiquant pourquoi une ré-authentification est nécessaire
2.1. si le POST contient un jeton signé valide de moins de 10 minutes : supprimer le compte
2.2. sinon traiter comme un GET (aller en 1)

L'utilisation d'un jeton évite le problème d'un formulaire obtenu juste avant le dépassement du délai (la personne a alors 10 minutes pour compléter le formulaire).

Cas d'usage immédiate: personne connecté via FranceConnect voulant supprimer son compte


Related issues

Blocks Publik - Development #27081: Intégration cahier des charges FranceConnect Nouveau 08 Oct 2018

History

#1 Updated by Benjamin Dauvergne 4 months ago

Also available in: Atom PDF