Onboarding
Activate Account
Attivazione account con email, codice manuale monouso e password. Tutte le verifiche sensibili e la creazione Auth avvengono lato server.
Attivazione account
Se l’email esiste già in Auth, il flusso collega la membership dopo aver verificato la password dell’account esistente.
Regole operative
Il codice viene mostrato solo al momento della generazione o rigenerazione in backoffice.
- Codice monouso manuale con validità di 72 ore.
- Hash del codice salvato lato database, mai il codice in chiaro.
- Rigenerazione che invalida il codice precedente.
- Rate limit logico sui tentativi di attivazione.