Auth: Passwort-Reset und Token-Invalidierung implementieren #81

New issue

Open

opened 2026-03-30 20:20:34 +00:00 by David · 0 comments

David commented 2026-03-30 20:20:34 +00:00

Collaborator

Copy link

Beschreibung

Es gibt keinen Passwort-Reset-Mechanismus und keine Möglichkeit JWT-Tokens zu invalidieren. Ein vergessenes Passwort erfordert Datenbankeingriff, und ein kompromittierter Token bleibt ewig gültig.

Hintergrund

backend/api/auth.py hat Login und User-CRUD, aber kein Password-Reset. JWTs haben zwar ein exp-Claim, aber keine Blacklist für vorzeitige Invalidierung (z.B. nach Logout oder Sicherheitsvorfall).

Akzeptanzkriterien

• POST /api/auth/reset-password — Admin kann Passwort für User zurücksetzen
• POST /api/auth/change-password — User kann eigenes Passwort ändern (altes PW nötig)
• POST /api/auth/logout — Token wird invalidiert
• Token-Blacklist (in DB oder Redis) für invalidierte Tokens
• Test: Nach Logout ist alter Token ungültig (401)

Technische Hinweise

• Betroffene Dateien: backend/api/auth.py, backend/services/auth_service.py
• Ansatz: Token-Blacklist-Tabelle oder kurze Token-Lebensdauer (1h) + Refresh-Token
• Migration nötig: ja (Token-Blacklist-Tabelle)

Aufwand: S

## Beschreibung Es gibt keinen Passwort-Reset-Mechanismus und keine Möglichkeit JWT-Tokens zu invalidieren. Ein vergessenes Passwort erfordert Datenbankeingriff, und ein kompromittierter Token bleibt ewig gültig. ## Hintergrund `backend/api/auth.py` hat Login und User-CRUD, aber kein Password-Reset. JWTs haben zwar ein `exp`-Claim, aber keine Blacklist für vorzeitige Invalidierung (z.B. nach Logout oder Sicherheitsvorfall). ## Akzeptanzkriterien - [ ] `POST /api/auth/reset-password` — Admin kann Passwort für User zurücksetzen - [ ] `POST /api/auth/change-password` — User kann eigenes Passwort ändern (altes PW nötig) - [ ] `POST /api/auth/logout` — Token wird invalidiert - [ ] Token-Blacklist (in DB oder Redis) für invalidierte Tokens - [ ] Test: Nach Logout ist alter Token ungültig (401) ## Technische Hinweise - Betroffene Dateien: `backend/api/auth.py`, `backend/services/auth_service.py` - Ansatz: Token-Blacklist-Tabelle oder kurze Token-Lebensdauer (1h) + Refresh-Token - Migration nötig: ja (Token-Blacklist-Tabelle) ## Aufwand: S

David added the

feature

normal

S

api

backend

labels 2026-03-30 20:20:34 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#81

No description provided.