Development #82736
Le mot de passe qui sécurise la modification/définition du courriel ou du téléphone n'est pas demandé dans la session de création du compte
0%
Description
Lorsque l'usager vient de se créer un compte et que dans cette même session il utilise les fonctions de modification/définition du courriel ou du téléphone le mot de passe n'est pas demandé.
S'il se déconnecte et se reconnecte, le mot de passe est désormais demandé.
Il me semble que le mot de passe pourrait être demandé dès la session de création.
Fichiers
Historique
Mis à jour par Mikaël Ates (de retour le 29 avril) il y a 6 mois
- Fichier Capture d’écran du 2023-10-23 16-29-26.png Capture d’écran du 2023-10-23 16-29-26.png ajouté
- Fichier Capture d’écran du 2023-10-23 16-29-19.png Capture d’écran du 2023-10-23 16-29-19.png ajouté
- Fichier Capture d’écran du 2023-10-23 16-28-27.png Capture d’écran du 2023-10-23 16-28-27.png ajouté
- Fichier Capture d’écran du 2023-10-23 16-28-22.png Capture d’écran du 2023-10-23 16-28-22.png ajouté
Mis à jour par Paul Marillonnet il y a 6 mois
Ok, pour déterminer si on demande le mot de passe ou non, on se base sur la date de dernière connexion.
Une création de compte n’est pas comptabilisée comme connexion, alors qu’elle devrait être un cas particulier de connexion. Clairement il y a une lacune ici, je regarde.
Mis à jour par Robot Gitea il y a 6 mois
Paul Marillonnet (pmarillonnet) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/161
- Titre : WIP: misc: consider user-initiated account creation as authn event (#82736)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/161/files
Mis à jour par Robot Gitea il y a 5 mois
- Statut changé de Solution proposée à En cours
Paul Marillonnet (pmarillonnet) a commencé à travailler sur une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/161
- Titre : WIP: misc: consider user-initiated account creation as authn event (#82736)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/161/files
Mis à jour par Benjamin Dauvergne il y a 5 mois
Est-ce qu'on ne pouvait pas rajouter 'phone' et 'email' dans la liste de can_authenticate_with_password pour rester dans l'intitulé du ticket et s'éviter un patch aussi long (je découvre le ticket désolé).
Mis à jour par Robot Gitea il y a 3 mois
Benjamin Dauvergne (bdauvergne) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :