Les récits de connexion ne méritent presque jamais un 3 — mais il y a toujours quelqu’un pour leur attribuer un 3.

« Ajouter une fonctionnalité de connexion » semble anodin, car toutes les personnes présentes dans la salle ont déjà mis en production une fonctionnalité de connexion, sur un autre produit, pour lequel un ensemble de décisions avait déjà été pris. Le périmètre dont vous vous souvenez est celui de la dernière fois — et non celui que vous vous apprêtez à prendre en charge. Le cas semble bien connu jusqu’à ce que quelqu’un pose l’une des questions ci-dessous, et là, ce n’est plus le cas.

Le problème, ce n’est pas que la connexion soit difficile. C’est plutôt que la discussion s’achève avant que les compromis ne soient mis en évidence. Les ingénieurs backend s’accrochent à l’argument « nous avons une bibliothèque pour cela ». Les chefs de projet s’accrochent à la capture d’écran du scénario idéal. C’est celui qui a réellement développé le produit récemment qui brise ce faux consensus, généralement en posant une question qui ne figurait pas sur le ticket.

Ce qui se dit dans la salle

Backend : « Ce n’est que du JWT, nous disposons de la bibliothèque. »

Sécurité : « La réinitialisation du mot de passe ne se résume pas à un simple JWT. »

PM : « Faut-il mettre en place l’authentification à deux facteurs dès le premier jour, ou s’agit-il d’une mesure à prendre ultérieurement ? »

Interface utilisateur : « Allons-nous nous associer à Google et Apple, ou développer notre propre solution ? »

SRE : « Quelle est la limite de débit pour le point de terminaison de connexion ? »

Questions qu’il convient de se poser avant de voter

  • Existe-t-il une procédure de réinitialisation du mot de passe, et qui est responsable du modèle d’e-mail ?
  • Identité fédérée — Google, Apple, SSO — ou simplement un nom d’utilisateur et un mot de passe ?
  • Stockage de session : JWT, session serveur, les deux, jetons de rafraîchissement ?
  • Limitation du débit et verrouillage du compte au niveau du point de terminaison de connexion ?
  • L’authentification à deux facteurs (2FA) est-elle désormais prise en compte, ou s’agit-il d’un « plus tard » délibéré ?
  • Enregistrement dans le journal d’audit des tentatives infructueuses ?

La plupart de ces réponses sont soit « banales », soit « cela mérite un ticket à part entière ». Comptez celles de la deuxième catégorie. S’il y en a deux ou plus, vous n’avez pas encore d’histoire — vous avez un candidat pour splitting, et le 3 pour lequel vous étiez sur le point de voter ne mesure pas ce qu’il faut.

Si votre équipe vote « 3 » lors de la connexion, la conversation n’a pas encore eu lieu. Renvoyez-la.

À lire également : les erreurs courantes au Planning Poker traite des problèmes pouvant survenir au cours d’une session ; comment animer une session présente le cycle en quatre phases. Consultez les autres exemples d’estimation concrets, ou lancez une session gratuite de Planning Poker et suivez le déroulement de cette histoire.