open-duelyst/duelyst

[P2] Add password reset tokens

Open

#152 ouverte le 16 oct. 2022

Voir sur GitHub
 (1 commentaire) (1 réaction) (0 assignés)JavaScript (3 443 stars) (526 forks)batch import
backendenhancementhelp wanted

Description

Summary

Since we removed email-based forgot password flows (see git log for original code), we should add an alternative system for password resets. One way to do this is with "recovery tokens", as seen on sites with MFA flows. We could give a user one recovery token which can be used to validate a one-time password reset, which then grants a new recovery token. These could be stored as (user_id, token) in a new Postgres table, and can be deleted after successful use.

Guide contributeur

Stack technique
javascriptpostgresql
Domaine
backendauthentication
Type d'issue
feature
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
half day
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
fresh
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
JavaScriptBasic SQLAuthentication concepts
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
50
Direction de recherche
Examine the existing authentication flow in the repository to understand how sessions are managed and where token validation occurs. Look for the previous email based forgot password code in git history. Implement a new Postgres table for recovery tokens with user id and token fields, and create endpoints to generate and validate tokens. Ensure tokens are hashed before storage and deleted after successful use.