Безопасность аккаунта
Suward держит замок у двери. Защищайте доступ двухфакторной аутентификацией, делите работу на организации и проекты, а ролями управляйте тем, кому что можно.
Двухфакторная аутентификация
TOTP из приложения-аутентификатора
Включите через SetupTwoFactor, отсканируйте QR в приложение-аутентификатор и подтвердите через Activate, чтобы зафиксировать. С этого момента каждый вход через SignInEmailPassword просит сменный шестизначный код вместе с паролем, поэтому одного украденного пароля никому не хватит. Disable снимает 2FA обратно, если вдруг понадобится.
Backup-коды
Потеряли телефон — и вы не заперты снаружи. Набор одноразовых backup-кодов даёт войти, передав backup_code вместо TOTP-кода. Истратили один или нужен чистый набор? RegenerateBackupCodes выдаёт новые и гасит старые.
Организации, проекты, роли
Ваш аккаунт — это организация. Внутри неё живут проекты: по одному на приложение, окружение или клиента. API-ключи и платежи скоупятся по проекту, поэтому доступ совпадает с работой. Роли вроде ROLE_OWNER решают, кому что можно, а людей вы зовёте через InviteOrganizationMember или InviteProjectMember.
Одна честная оговорка. Приглашения уже отправляются, но приём приглашения и управление участниками проекта получат полноценный экран в кабинете — а это v2. Модель реальна. API есть. Вылизанный UI на подходе.
Сброс пароля
Забыли? InitPasswordReset присылает на почту ссылку-подтверждение, а CompletePasswordReset ставит новый пароль только после того, как вы перешли по этой ссылке из своего ящика, — так что никто не сбросит ваш пароль, не владея вашей почтой. Уже вошли и просто хотите сменить? Это делает ChangePassword напрямую. Без шага с почтой запросу не доверяют.
Способы входа
Email и пароль
Работает, с 2FA сверху через SignInEmailPassword.
Telegram
Бэкенд готов, но кнопки в UI пока нет. Поэтому во v1 мы не указываем Telegram как доступный метод. Кнопка, которая ничего не делает, никому не нужна. Он включится вместе с кабинетом.
Кое-что ещё не готово, и мы лучше скажем прямо. У Telegram-входа во v1 нет UI. У приёма приглашения пока нет экрана, хотя API есть. Полноценный audit-log и управление ролями в кабинете — в roadmap, придут с v2. Ничего из этого мы тут не выдаём за готовое.
Безопасность аккаунта — частые вопросы
TOTP из любого стандартного приложения-аутентификатора — настройка через SetupTwoFactor, подтверждение через Activate. В комплекте идут backup-коды на день, когда телефона нет под рукой.
Войдите по backup-коду вместо TOTP-кода, затем сгенерируйте новый набор через RegenerateBackupCodes. Храните набор там, где нет вашего телефона.
Разложите работу по проектам и зовите людей через InviteOrganizationMember или InviteProjectMember, а ролями задайте, что им можно. Учтите: приглашения уже отправляются, но приём — часть кабинета v2.