学校情報をパスワードロックできるようにする
やっぱりカギいるよね...
現状、学校情報は誰でも登録できて誰でも編集できる仕様。
リアルな関係性があるコミュニティのはずなので、これで問題ないかなと思ってましたが、アプリ公開してお試ししてくださった方からのフィードバックとしては、やはり部外者の人が入って来れるのは怖いということでした。
そこで、覚悟を決めて実装を決意!
名称
- 表示名は、「合言葉」にしよう。
- パスワードとかパスコードとかパスフレーズとか怖そうな名前ではなくしたい。
セキュリティ的なところ
- ハッシュを使う。
- 塩を振って二重ハッシュでブルートフォースや解析に強くする。
ハッシュが漏れたら?
- 復号できないので問題ない。
- 正しい合言葉を入力する以外に解く方法はない。(運営もわからない)
カギを作るのは誰?
- 学校の登録者にする。
カギの変更や削除は誰がやる?
- カギが人為的に漏れることはありうるので、再設定、削除は必要。
- 学校情報の登録者が最適だが、任期満了などで他の人になることもある。
- 学校情報を編集できるエディターを設定できるようにする必要がある。
と、学校情報の編集権限を持つエディターユーザを登録したり変更したりする機能も実装が必要になった。やることはどんどん増えていく。