Registrieren und Anmelden

GT ist eine mandantenfähige Webanwendung, für deren Nutzung eine Registrierung mit einigen Angaben erforderlich ist. Zusätzlich ist für eine Benutzersitzung eine Anmeldung mit E-Mail und Passwort erforderlich.

Registrieren

Für die Registrierung muss der Benutzer die Eingabefelder von zwei Dialogen ausfüllen. Der erste für seine Daten und der zweite für die Daten des Klienten. Dazwischen muss er eine E-Mail bestätigen und sich zum ersten Mal bei GT anmelden. Der Registrierungsprozess endet mit dem Anmelde-Dialog.

sequenceDiagram
    autonumber
    participant Benutzer
    participant A as Anmelden-Form
    participant R as Registrien-Form
    participant K as Klient-Form
    participant Backend
    Benutzer->>A: Wählt Registrieren
    A-->>R: Weiterleitung
    Benutzer->>R: Benutzer registrieren
    R-->>Backend: Eingabe prüfen
    Backend-->>Benutzer: Email mit Bestätigungs URI  
    Benutzer->>Backend: Bestätigt URI
    Backend-->>Benutzer: Weiterleitung Anmelden-Form
    Benutzer->>A: Benutzer meldet sich an
    A-->Backend: Authentifizierung prüfen
    Backend-->>Benutzer: Weiterleitung Klient-Form
    Benutzer->>K: Klient eintragen
    K-->>Backend: Eingabe prüfen
    Backend-->>A: Weiterleitung Anmelden-Form
Im Video ist es vielleicht einfacher…

Eigenschaften

  • Spitzname: Dieser Spitzname ist pro GT-Instanz einzigartig, andernfalls könnten Sie nicht von den anderen Benutzer unterschieden werden. Zurzeit wird diese zwischen den Benutzer noch nicht genutzt.
  • E-Mail: Muss eine für die GT-Instanz einzigartig sein, sonst könnte Sie GT nicht von anderen Benutzer unterscheiden.

Anmelden

Sie können sich mehrfach an GT anmelden auch mit demselben Webbrowser. Jedoch sind Sie dafür verantwortlich, dass die entsprechende Ansichten des Benutzeroberfläche den aktuellen Zustand anzeigt. Das GT-Backend wird Ihnen nicht die Änderungen der einten Benutzersitzung auf der anderen Benutzersitzung propagieren.

Authentifizierung und Sicherheit

In “Unterschiedliche Installationsarten” wird erklärt, warum GT ein JSON Web Token (JWT) verwendet. Dieses JWT hat eine Ablaufzeit, die vom Administrator unter “Globale Einstellungen” festgelegt werden kann. Es gibt keine automatische Erneuerung des JWT, d.h. nach der Ablaufzeit muss sich der Benutzer erneut bei GT anmelden. Daher sollte die Ablaufzeit des JWT nicht zu kurz gewählt werden, wir empfehlen 1440 Minuten, was 24 Stunden entspricht. Dieses JWT wird im Sitzungsspeicher des Webbrowsers gespeichert. Dieser Sitzungsspeicher wird beim Abmelden von GT oder beim Schliessen des Browsers gelöscht. Um das JWT vor Diebstahl zu schützen, sollten Sie sich daher von GT abmelden oder den Webbrowser schliessen.

JWT und Password ändern

Ein JWT verliert seine Gültigkeit, wenn das Ablaufdatum überschritten wird, daher können mehrere JWTs eines Benutzers gleichzeitig gültig sein. Eine Änderung des Passwortes macht die vorherigen JWT nicht ungültig, d.h. das JWT sollte nicht in “falsche Hände” geraten. Wir glauben, dass das Ungültigmachen von JWTs für GT nicht notwendig ist, da wir keine große Gefahr von Cross-Site-Scripting(XSS)- oder Cross-Site-Request-Forgery (CSRF)-Angriffen sehen.

Authentifizierung

Zurzeit verlang GT nur die E-Mail und ein Passwort für die Anmeldung. Der Administrator kann gewisse Vorgaben für die Passwortstärke geben, siehe dazu “Globale Einstellungen”.

Brute-Force-Attacke

Nach 5 fehlgeschlagenen Anmeldeversuchen auf derselben IP-Adresse wird das Backend von GT für eine bestimmte Zeitspanne keine Anmeldeversuche für diese gesperrte IP-Adresse durchführen.