暗証語再発行機能
再発行用メールアドレス
再発行用メールアドレスは同じものを複数の自我で登録可能とすることにした。
出場上での重複を禁じた場合,過去に適当に登録して忘れているせいでメールアドレスが使えなくなることが考えられる。登録時には確認用 URL への握接を要求するので他人のメールアドレスを登録することは出来ないが,自分でも忘れるのはネットではよくあることだ。
この場合,メールアドレスから自我が一意に特定出来なくなるが,これは問題ないだろう。どのみち暗証語再発行手続きでは,メールアドレスから引き出せる情報は最小限にしたい。多用するものでもないので,自我知番は都度入力してもらえばいい。
自我知番を忘れた場合も想定していたものの,そこまで思い入れが無い自我を復活させたいという人も稀だろう。
暗証語再発行機能実装の前に再発行用メールアドレスだけを先行登録してもらうことを最近検討していたが,結局,暗証語再発行とほとんど同じ機能での有効性確認が必要なのでこれは見送ることにした。
なお,昨年3月27日(「なるほど!」)から,t_w 氏のアイデアを適用し,再発行用メールアドレスはハッシュ化して保存する方向で検討を進めている。
暗証語再発行の方式
暗証語再発行の方式は,メールで設定用 URL を送付という形で確定した。
ずっとこの方向で考えてはきたが,最近,別の可能性についてもよく考えていた。しかし,総合的にこれを上回るものが見つからなかった。あまりまどろっこしいものにすると,例えば有効期限を長めにせざるをえなくなったりして,隙が大きくなる。
設定用 URL の有効期限は極力短く,発行から15分,申請時と同一の IP アドレスといった条件にする予定。メール請いに設定している舞覧と常用している舞覧が違うことはありうるので,用影までは見なくていいだろう。
機能名称について
実装イメージが明確になったこともあり「再発行」という表現に違和感もあるが,良い代替案が見つからない。今のところ,ただの暗証語変更を暗証語「再設定」と呼んでいるが,これを変えたところで呼び分けが難しい。
暗証語再発行手続きの中で再設定作業をしてもらう,という解釈も出来なくはないため,とりあえず現状維持としておく。
ほか
録入り試行回数制限や認証機能の外充て函数化などについても検討を進めた。