GROOMING AUTHENTICATION

I. Overview về Authentication
- Business context: Cho phép user có thể quên password hoặc thay đổi password. Nhằm
mục đích đảm bảo về mặt security cho user, cả Web user và Web admin
- Phần này bao gồm các đầu mục sau
 Authentication for web user
 Forgot password & reset password
 Change password at first login
 Change password after login
 Authentication for web admin
 Forgot password & reset password
 Change password at first login
 Change password after login
 Send welcome email with user password

II. Detail development

1. Authentication for web user
1.1 Forgot password & reset password

 Khi forgot password sẽ cho phép điền email để nhận link reset password. Khi
đó user sẽ nhận được link reset gửi về mail và link này sẽ bị expired trong
vòng 30p kể từ lúc email đc gửi. Trong trường hợp bấm resend email thì link
reset cũ sẽ bị close đi dù chưa đủ 30 phút và email mới sẽ được gửi như là
email follow up của email cũ (trong cùng 1 luồng email)
 Khi user click vào link reset password thì sẽ mở trang reset password để user
có thể đổi sang password mới

1.2 Change password at first login

  Khi đăng nhập, sẽ check xem đây là lần đầu đăng nhập hay không. Nếu đây là
lần đầu đăng nhập thì sẽ redirect đến page thay đổi password 1st login. Nếu
không phải đăng nhập lần đầu => tiếp tục flow login như bình thường
 Khi redirect đến trang thay đổi password 1st login, user có thể chọn hoặc là đổi
password hoặc là skip (not now). Nếu bấm Not now thì sẽ skip bước thay đổi
password và tiếp tục login như bình thường
 Nếu thay đổi password thì sau khi hoàn tất thay đổi sẽ quay lại trang login để
đăng nhập với password mới
1.3 Change password after login

 Sau khi login có thể access Change password từ profile menu

 Khi bấm vào change password sẽ mở popup cho phép thay đổi password
 Sau khi Save để cập nhật password thì đóng popup và trở lại trang hiện tại

2. Authentication for web admin

Giống Authetication cho Web user nhưng là cho Web admin trong Admin Panel
3. Send welcome email with user password
Khi một hoặc nhiều user được tạo thành công (cả manually và import batch) thì hệ
thống sẽ tự động generate ra password và gửi email welcome tới cho user đó, trong đó
có chứa user, email và password của user đó để user có thể có thông tin dể login vào
hệ thống (Đối với manual thì sẽ tự gen password cho user đó, còn với import thì sẽ tự
gen cho những record mà field password = null)
Email được chia thành 2 loại, Email cho Internal user và Email cho External user
Email cho Internal user là để cung cấp link login Admin panel và tài khoản, mật khẩu.
Template như sau
Email cho External user là để cung cấp link login web chính và tài khoản, mật khẩu.
Template như sau
Nếu như vẫn ở trên trang khi đã quá 30p thì khi bấm update password vẫn sẽ đưa
đến trang expired
Ko disable link cũ sau khi resend email
Với link dã update password thì sẽ disable link dó đi
Bổ sung thêm màn no permission khi access
Sau khi change password sau khi login => log out ra và bắt login lại