Ocena funkcji logowania
Jak oszacować zakres funkcji logowania: ukryte aspekty — resetowanie hasła, uwierzytelnianie dwuskładnikowe (2FA), federacja, ograniczanie częstotliwości, sesje — oraz pytania, na które należy odpowiedzieć przed rozpoczęciem głosowania.
Opowieści o logowaniu prawie nigdy nie otrzymują oceny 3 — ale zawsze znajdzie się ktoś, kto przyznaje im właśnie 3.
Napis „Dodaj funkcję logowania” wydaje się nieistotny, ponieważ wszyscy obecni w pomieszczeniu wdrożyli już wcześniej funkcję logowania – w innym produkcie, w oparciu o inny zestaw podjętych wcześniej decyzji. Zakres, który Państwo pamiętają, to zakres z poprzedniego projektu – a nie ten, za który mają Państwo się teraz podjąć. Sprawa wydaje się jasna, dopóki ktoś nie zada jednego z poniższych pytań – a wtedy już tak nie jest.
Problem nie polega na tym, że logowanie jest trudne. Problem polega na tym, że dyskusja kończy się, zanim widoczne stają się kompromisy. Inżynierowie backendowi opierają się na stwierdzeniu: „mamy do tego bibliotekę”. Kierownicy projektów opierają się na zrzucie ekranu przedstawiającym idealny przebieg procesu. Osoba, która faktycznie niedawno zrealizowała dane rozwiązanie, jest tą, która przełamuje ten fałszywy konsensus, zazwyczaj zadając pytanie, którego nie było w zgłoszeniu.
O czym się mówi w tym pomieszczeniu
Backend: „To tylko JWT, mamy odpowiednią bibliotekę”.
Bezpieczeństwo: „Resetowanie hasła to nie tylko JWT”.
Premier: „Czy uwierzytelnianie dwuskładnikowe jest nam potrzebne już od pierwszego dnia, czy też jest to kwestia do rozstrzygnięcia w późniejszym terminie?”
Interfejs użytkownika: „Czy zamierzamy nawiązać współpracę z Google i Apple, czy też stworzyć własne rozwiązanie?”
SRE: „Jakie jest ograniczenie częstotliwości dla punktu końcowego logowania?”
Pytania, które warto zadać przed oddaniem głosu
- Czy istnieje procedura resetowania hasła i kto jest odpowiedzialny za szablon wiadomości e-mail?
- Tożsamość federacyjna — Google, Apple, SSO — czy tylko nazwa użytkownika i hasło?
- Przechowywanie sesji: JWT, sesja serwerowa, obie opcje, tokeny odświeżające?
- Ograniczanie częstotliwości i blokowanie konta w punkcie końcowym logowania?
- Czy uwzględniono już uwierzytelnianie dwuskładnikowe (2FA), czy też jest to celowe odłożenie tej kwestii na „później”?
- Rejestrowanie w dzienniku audytowym nieudanych prób?
Większość tych odpowiedzi jest albo „trywialna”, albo „to temat na osobny wątek”. Proszę policzyć odpowiedzi z tej drugiej kategorii. Jeśli są dwie lub więcej, to nie ma Pan/Pani jeszcze historii — ma Pan/Pani kandydata do podziału, a 3, na które miał Pan/Pani zamiar zagłosować mierzy niewłaściwą rzecz.
Jeśli Państwa zespół zagłosuje na „3” podczas logowania, rozmowa jeszcze się nie odbyła. Proszę odesłać wiadomość.
Zobacz także: artykuł Typowe błędy w Planning Pokerze opisuje, co może pójść nie tak podczas sesji; artykuł Jak przeprowadzić sesję przedstawia czterofazowy cykl. Zapoznaj się z innymi przykładami oszacowań lub rozpocznij bezpłatną sesję Planning Pokera i przeanalizuj tę historię w jej ramach.