BOMnipotent v0.5.0 ermöglicht Email Verifizierung
Nutzer müssen nun nachweisen, dass sie Zugriff auf die angegebene Mailadresse haben.
Benutzerkonten in BOMnipotent sind mit E-Mail-Adressen verknüpft. Bisher dienten sie lediglich als Ersatz für einen Benutzernamen. Mit der neuen Version v0.5.0 sendet BOMnipotent neu registrierten Benutzern einen Bestätigungslink. Dieser Link enthält einen hashbasierten Nachrichtenauthentifizierungscode (HMAC), der mithilfe eines beim Serverstart zufällig generierten Schlüssels erstellt wird. Erst wenn Benutzer diesem Link folgen, werden sie als “verifiziert” gekennzeichnet und können von einem Benutzermanager freigegeben werden.
Wie sieht es aber mit der Automatisierung aus? CI/CD-Pipelines sind üblicherweise nicht mit einer E-Mail-Adresse verknüpft. Für sie bietet der BOMnipotent-Client die neue Option “–robot”. Mit dieser Option können Sie ein Konto anfordern, welches keine Bestätigungs-E-Mail erhält. Mit derselben Option können Sie ein solches Konto anschließend freigeben.
Für die E-Mail-Funktion ist eine Verbindung zu einem SMTP-Server erforderlich. Dazu muss der Konfigurationsdatei ein SMTP-Abschnitt hinzugefügt werden. Die Dokumentation beschreibt dies in gewohnter Ausführlichkeit.
Warum ist diese neue Funktion ein breaking change? Weil BOMnipotent secure-by-default ist. Das bedeutet, dass diese Funktion aktiviert ist und die SMTP-Konfiguration erfordert, sofern Ihr sie nicht explizit deaktivieren. Macht das bitte nicht, es ist viel Liebe und Müh in die Entwicklung geflossen.
P.S.: Ist Euch der neue Look der Webseite aufgefallen, mit erhöhtem Kontrast für verbesserte Barrierefreiheit?