cedricAbonnel/folio
1
0
Fork 0
Code Issues 15 Pull Requests Actions Packages Projects Releases Wiki Activity

Lien magique : page de confirmation pour éviter la consommation par les scanners email #27

New Issue
Closed
opened 2026-05-13 22:09:42 +00:00 by cedricAbonnel · 0 comments
cedricAbonnel commented 2026-05-13 22:09:42 +00:00
Owner
Copy Link
Copy Source

Problème

Certains clients email (Microsoft Safe Links, antispam, Gmail) font un GET automatique sur tous les liens pour détecter le phishing. Ce comportement consomme le token du lien magique avant que l'utilisateur clique, rendant le lien inutilisable (erreur "Lien déjà utilisé").

Solution

Séparer la validation de la consommation dans public/login/magic.php :

  • GET : vérifie que le token est valide (existe, non expiré, non consommé) et affiche une page de confirmation avec un bouton "Se connecter"
  • POST : consomme le token (marque consumed_at) et ouvre la session

Les scanners email n'effectuent que des GET — le token reste intact jusqu'au clic réel de l'utilisateur.

Fichiers concernés

  • public/login/magic.php

Référence

Voir app/docs/auth-magic-link.md pour la documentation du fonctionnement actuel.

Migré depuis varlog#38

## Problème Certains clients email (Microsoft Safe Links, antispam, Gmail) font un GET automatique sur tous les liens pour détecter le phishing. Ce comportement consomme le token du lien magique avant que l'utilisateur clique, rendant le lien inutilisable (erreur "Lien déjà utilisé"). ## Solution Séparer la validation de la consommation dans `public/login/magic.php` : - **GET** : vérifie que le token est valide (existe, non expiré, non consommé) et affiche une page de confirmation avec un bouton "Se connecter" - **POST** : consomme le token (marque `consumed_at`) et ouvre la session Les scanners email n'effectuent que des GET — le token reste intact jusqu'au clic réel de l'utilisateur. ## Fichiers concernés - `public/login/magic.php` ## Référence Voir `app/docs/auth-magic-link.md` pour la documentation du fonctionnement actuel. --- *Migré depuis [varlog#38](https://git.abonnel.fr/cedricAbonnel/varlog/issues/38)*
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
No items
No Label
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
cedricAbonnel (Cédric Abonnel)
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: cedricAbonnel/folio#27
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?