Der erste Vorschlag ist also nur die Verfolgung von Einladungen? Ja, klar. Ein Benutzername ohne Token sollte keine TL1-Rechte gewähren, da Benutzernamen öffentliche Informationen sind.
[quote=“codinghorror, post:20, topic:144376”]
Zweitens: Du solltest in der Lage sein, Einladungslinks ohne E-Mail-Adresse von derselben Stelle aus zu generieren, an der du Einladungen verschickst, wie oben erwähnt 
… damit ist das Problem „aber ich kenne ihre E-Mail-Adressen nicht 
Ja, es gibt hier keinen Nachteil, Discord zu kopieren. Ich glaube, wir hatten in der Vergangenheit reine URL-basierte Einladungen (ohne E-Mail erforderlich), mussten sie aber aufgrund von Sicherheitsproblemen entfernen. Erinnern Sie sich, @techapj? 
Ja, der Teil ‘keine E-Mail erforderlich’ war der Sicherheitsfehler – diese Einladungen sollten dennoch eine E-Mail-Bestätigung (oder eine Social-Login-Option mit E-Mail-Bestätigung) erfordern, da sie nicht direkt im Posteingang der Nutzer landen.
Wenn das Ziel ist, dies so einfach wie möglich teilbar zu machen, wäre es dann nicht besser, dies wie einen Empfehlungscode zu gestalten? Etwas, das sich leicht in einer Präsentationsfolie, als reiner Text oder mündlich weitergeben lässt. Abfrageparameter sind verwirrend und anfällig, wohingegen domainname.tld/invite/samgdc2020 einprägsam und risikoarm ist – genau das, was man sich schnell notieren und problemlos übermitteln kann.
Als Vorsichtsmaßnahme würde ich sehr gerne eine Form der Ablaufzeit für Codes als zusätzlichen Schutzschicht sehen.
Die Dauer und/oder die Anzahl der Verwendungen wären angemessene Grenzen, die andere Software für derartige Zwecke bereits umgesetzt haben. Und sie werden in der Regel vom Benutzer festgelegt.
Stimmt, aber wenn man sich den PR ansieht, ist es ein einziger Code für die gesamte Website.
Ja, diese Funktion ist immer noch vorhanden, in einem Plugin verpackt:
Die URL hat folgendes Format: http://discourse.example.com/invite-token/redeem/TOKEN?username=USERNAME&email=EMAIL&name=NAME&topic=TOPICID
Die minimal erforderliche URL lautet: http://discourse.example.com/invite-token/redeem/TOKEN?email=EMAIL
Das Sicherheitsproblem bestand darin, dass wir nicht prüften, ob der Benutzer mit der angegebenen E-Mail-Adresse existiert. Das tun wir nun im Plugin.
Ich vermute, der Benutzername könnte standardmäßig in das Token integriert und möglicherweise durch explizite Angabe eines Benutzers überschrieben werden.
Bei token würde ich lieber code verwenden, da dies für nicht-technische Personen verständlicher ist.
Das glaube ich nicht. Zwar enthalten die vom Plugin generierten Tokens keine E-Mail-Adressen, aber sie können nur verwendet werden, wenn eine E-Mail hinzugefügt wird. Hier geht es jedoch darum, diese Anforderung zu entfernen, oder?
[quote=“codinghorror, Beitrag: 20, Thema: 144376”]
Du solltest in der Lage sein, Einladungslinks ohne E-Mail von derselben Stelle aus zu generieren, an der du Einladungen versendest, wie oben erwähnt … dies löst das Problem „aber ich kenne ihre E-Mail-Adressen nicht
Verfallen diese Einladungs-Codes jemals oder sind sie unbegrenzt gültig? Wir sollten hier zumindest vorerst eine feste Obergrenze als Site-Einstellung festlegen.
Benötigen wir nicht immer noch eine E-Mail-Adresse, damit GitHub - discourse/discourse-invite-tokens: Discourse Invite Tokens · GitHub funktioniert? Es könnte sein, dass ich die Funktionsweise missverstehe.
Was ich mir wünsche, ist ein maßgeschneiderter Link (ohne E-Mail-Adresse), den Organisationen an ihre Kunden senden können. Dieser würde sie beim Registrieren automatisch einer Gruppe und einem Startthema zuweisen. Der Grund dafür ist, dass die medizinischen Organisationen, mit denen ich arbeite, ihre E-Mail-Listen nicht teilen können oder wollen, aber gerne eine E-Mail an ihre Mitglieder (von ihnen selbst) senden.
Ich denke, dass deine Anfrage hier und die Feature-Anfrage von @nathank ziemlich eng miteinander verknüpft sind.
Derzeit gibt es einen einzigen globalen Einladungscode, der kein Ablaufdatum hat. Um ihn ungültig zu machen, kann der Administrator den Code einfach auf Null setzen oder ändern.
Was hier gefordert wird, ist ein ausgefeilterer Mechanismus für Einladungslinks, der in das globale Einladungssystem integriert ist.
Die wichtigsten geforderten Funktionen sind:
Neuer Einladungslink
Das fühlt sich für mich wie eine Erweiterung dieses Dialogs an:
Vielleicht als neuer Reiter?
[Masseneinladung]E-Mail-Adresse entfernen
Button „Einladung senden“ entfernen
Hinzufügen:
Wie viele Personen dürfen sich über diesen Link registrieren?
Wie lange soll dieser Einladungslink gültig sein? Standardmäßig 1 Monat.
Sobald du diese Angaben gemacht hast, erhältst du einen Einladungslink, der für eine begrenzte Zeit gültig ist, in das restliche Einladungssystem integriert ist, das Hinzufügen von Personen zu Gruppen ermöglicht und so weiter.
Damit können wir die gesamte globale Funktion „Einladungscode“ tatsächlich entfernen.
Genau richtig – das würde den Bedarf perfekt erfüllen.
Es wäre auch toll, ein Landing-Thema/einen Landing-Beitrag einzufügen, wie bei den Masseneinladungen per CSV. So bleibt alles konsistent.
Wenn es für die aktuellen globalen Ereignisse relevant ist, unterstütze ich die Priorisierung dieser Arbeit, aber die Entscheidung liegt bei dir, @sam.
Nein, für invite-tokens wird keine E-Mail-Adresse benötigt. Siehe Generating lots of Invite Tokens, um zu verstehen, wie es funktioniert.
Das habe ich gelesen, bin aber immer noch verwirrt.
Das scheint sehr stark darauf hinzudeuten, dass Sie die E-Mail-Adresse des Benutzers benötigen. Oder bin ich einfach nur dumm?
Mein Verständnis von Bulk-Invite-Tokens ist, dass man pro Einladung einen Token erhält. Das liegt weit entfernt von dem, was Sie hier wünschen.
Ich werde dies mit @techAPJ besprechen. Ich finde, dass die effiziente Onboarding von Nutzern in ein neues Forum derzeit sehr relevant und wichtig ist. Wir werden die Verbesserung dieses Bereichs priorisieren.
Die E-Mail-Adresse ist zum Zeitpunkt der Annahme der Einladung erforderlich, jedoch nicht bei der Generierung des Einladungstokens.
Sie können diese URL an den Endbenutzer weitergeben und ihn bitten, EMAIL durch seine E-Mail-Adresse zu ersetzen: http://discourse.example.com/invite-token/redeem/TOKEN?email=EMAIL.
Ich hoffe, damit ist die Verwirrung geklärt.
Dein vorgeschlagener Lösungsvorschlag in Beitrag 31 gefällt mir sehr gut, @sam, die Funktionalität von Einladungscode zu erweitern.
Ich stimme zu, das wäre auch etwas, das ich sehr gerne umgesetzt sehen würde.
Dadurch könnte jeder, der über die Berechtigung „Benutzer einladen“ verfügt, einen generischen Einladungslink erstellen, der es dem Benutzer ermöglicht, beizutreten und in die Liste der eingeladenen Benutzer des Empfehlenden aufgenommen zu werden.
Einladungen zu Gruppen sowie mit Zeit- oder Mitgliederlimits wären schön, sind für mich jedoch keine Priorität.
Ich erhalte die Meldung „Oops! Diese Seite existiert nicht oder ist privat“, wenn ich dies versuche.
amazing.forum.com/signup öffnet das Anmelde-Modal, aber amazing.forum.com/signup?code=fantastic scheint den Wert nicht an das Modal zu übergeben (ich habe auch invite_code=fantastic ausprobiert).
Und wenn das funktioniert, wäre es schön, dies im Eröffnungspost (OP) zu erwähnen.