Autentificare & autorizare
Cum se autentifică un utilizator și cum decide aplicația cine are acces unde.
Recash nu gestionează parole. Autentificarea trece integral prin OAuth — Google sau Facebook — ceea ce elimină o categorie întreagă de riscuri: stocarea parolelor, resetările, atacurile de tip forță brută pe formularul de login. Google One Tap oferă în plus autentificare cu o singură atingere, fără redirect către o pagină separată.
Loc pentru imagineEcranul de autentificare, cu opțiunile Google și Facebook
Sesiunile JWT
Sesiunile sunt de tip JWT, nu salvate în baza de date — nicio cerere nu trebuie să interogheze baza de date doar ca să confirme că utilizatorul este autentificat. Alegerea are o consecință directă: serverul WebSocket nu poate verifica sesiunea în baza de date, așa că folosește propriul mecanism, prin Redis — detaliat în Comunicare în timp real.
Protecția rutelor
Înainte ca o cerere să ajungă la orice pagină sau rută API, un middleware verifică dacă există o sesiune validă. Nivelurile de protecție diferă în funcție de zonă:
- paginile personale — profil, tranzacții, notificări — cer autentificare completă
- citirea postărilor este publică: oricine poate vedea harta de anunțuri, chiar și fără cont
- orice scriere — postare nouă, revendicare, anulare — cere un cont autentificat
Loc pentru imagineDiagrama fluxului: login OAuth, cookie de sesiune, verificare la nivel de middleware
De ce citirea este publică
Un vizitator neautentificat trebuie să vadă ce oferă platforma, ca motivație să-și facă cont — dar orice acțiune care implică bani sau reputație cere o identitate confirmată.
