Een inschatting maken van een inlogfunctie
Hoe u een inlogfunctie kunt beoordelen: de verborgen aspecten — wachtwoordherstel, tweefactorauthenticatie, federatie, rate limiting, sessies — en de vragen die u moet stellen voordat er gestemd wordt.
Verhalen over het inloggen krijgen bijna nooit een 3 — maar er is altijd wel iemand die een 3 geeft.
“Inlogfunctie toevoegen” lijkt een kleine opgave, omdat iedereen in de kamer al eens eerder een inlogfunctie heeft geïmplementeerd, voor een ander product, waarbij toen al andere keuzes waren gemaakt. De reikwijdte die u zich herinnert, is die van de vorige keer — niet de reikwijdte waarmee u nu aan de slag gaat. Het verhaal klinkt als een bekend verhaal, totdat iemand een van de onderstaande vragen stelt, en dan is dat ineens niet meer zo.
Het probleem is niet dat het inloggen moeilijk is. Het probleem is dat de discussie al wordt afgesloten voordat de afwegingen duidelijk zijn. Backend-ontwikkelaars baseren zich op „we hebben hier een bibliotheek voor”. Productmanagers baseren zich op de schermafbeelding van het ideale scenario. Degene die het systeem onlangs daadwerkelijk heeft gebouwd, is degene die de valse consensus doorbreekt, meestal met een vraag die niet op het ticket stond.
Wat er in de kamer wordt gezegd
Backend: “Het is gewoon JWT, we hebben de bibliotheek.”
Beveiliging: “Het opnieuw instellen van een wachtwoord is niet ‘alleen maar JWT’.”
PM: “Hebben we vanaf dag één tweefactorauthenticatie nodig, of komt dat later?”
Frontend: “Gaan we samenwerken met Google en Apple, of ontwikkelen we onze eigen oplossing?”
SRE: “Wat is de rate limit voor het inlog-eindpunt?”
Vragen die u zich het beste kunt stellen voordat u gaat stemmen
- Bestaat er een procedure voor het opnieuw instellen van wachtwoorden, en wie is verantwoordelijk voor het e-mailsjabloon?
- Gefederate identiteit — Google, Apple, SSO — of alleen gebruikersnaam en wachtwoord?
- Sessieopslag: JWT, serversessie, beide, vernieuwingstokens?
- Rate limiting en accountvergrendeling op het inlog-eindpunt?
- Valt 2FA nu al onder het toepassingsgebied, of is er bewust gekozen voor „later“?
- Wordt er een logboek bijgehouden van mislukte pogingen?
De meeste van deze antwoorden zijn ofwel „triviaal“, ofwel „dat is een apart onderwerp“. Tel het tweede soort. Zijn er twee of meer, dan hebt u nog geen verhaal — u hebt een kandidaat voor splitting, en de 3 waarop u op het punt stond te stemmen meet niet wat het zou moeten meten.
Als uw team bij het inloggen met 3 stemmen stemt, heeft het gesprek nog niet plaatsgevonden. Stuur het dan terug.
Zie ook: veelgemaakte fouten bij Planning Poker behandelt wat er tijdens de sessie mis kan gaan; hoe u een sessie leidt beschrijft de vierfasige cyclus. Bekijk de andere praktijkvoorbeelden van schattingen, of start een gratis Planning Poker-sessie en doorloop dit verhaal stap voor stap.