Tsumoo 開発ログ

Appearance

2026年6月17日(水)

今日やったこと

  • TSUMOO-13 ログイン・ログアウト処理実装を完了した
    • メールアドレス / パスワードログイン、ログアウト、remember me の動きを確認
    • 未確認ユーザーの扱いと確認メール送信完了画面への誘導を再確認
    • 認証まわりの実装ガイドと設計書の整合を確認した
  • TSUMOO-15 パスワードリセット処理実装に着手し、方針を整理した
    • タスク開始メモを作成し、すぐ実装せずに実装範囲・対象外・相談事項を確認してから進めた
    • 存在しないメールアドレスや Google 専用アカウントに対しても、同じ完了画面へ進める方針にした
    • 再設定リンクだけでなく、画面側でもメールアドレスを入力してもらい、トークンとメールアドレスの組み合わせで検証する形にした
    • パスワード再設定後は、他端末を含む既存セッションを無効化する方針にした
    • パスワード再設定完了後に通知メールを送る方針にした
  • パスワードリセットのバックエンド処理を実装した
    • パスワードリセット申請 API を追加
    • 再設定トークンの作成、存在確認、削除の処理を追加
    • パスワード更新、トークン削除、セッション無効化、完了通知メール送信の流れを整理
    • Feature Test を追加し、正常系と異常系を確認した
  • パスワードリセットのフロントエンド処理を実装した
    • 再設定メール送信フォーム、送信完了画面、再設定フォーム、再設定完了画面を API と接続
    • 無効な再設定リンクの場合の画面表示を追加
    • 無効リンク表示が安全色に見えないよう、警告寄りの色へ調整した
    • フォームバリデーションの意図が分かるよう、正規表現まわりに補足コメントを追加した
  • 設計書と機能実装ガイドを更新した
    • パスワードリセットの実装範囲、セキュリティ方針、画面遷移、API の流れを反映
    • 実装後に見直した判断ログを残し、あとから理由を追えるようにした

ロードマップ

フェーズ1: タスク管理MVP

進捗: 27 / 43件

今日対応したタスク

  • 完了 TSUMOO-13 ログイン・ログアウト処理実装
  • 進行中 TSUMOO-15 パスワードリセット処理実装

次に取り組むタスク

  • TSUMOO-15 パスワードリセット処理実装のレビューと仕上げ
  • パスワードリセットまわりの設計書・機能実装ガイドの再確認
  • 認証系の残課題を整理し、次の設定画面実装へつなげる

考えたこと

パスワードリセットは、ユーザー体験だけで見るとできるだけ入力項目を少なくしたくなりますが、セキュリティを優先すると「リンクを持っていること」だけに寄せすぎないほうが安心だと感じました。

今回は、再設定リンクに含まれるトークンと、画面で入力されたメールアドレスの組み合わせを確認する形にしました。少し手間は増えますが、リンクだけで再設定できるよりも、意図が分かりやすく安全側に倒せる実装です。

また、存在しないメールアドレスや Google 専用アカウントに対しても同じ完了画面を出すことで、アカウントの存在有無を外から推測しにくくしました。認証まわりでは、このような「画面としては自然だけど、裏側では情報を出しすぎない」判断が多いです。

決めたこと

  • パスワードリセット申請は、存在しないメールアドレスや Google 専用アカウントでも同じ完了画面へ進める
  • 再設定フォームでは、再設定リンクのトークンに加えてメールアドレスも入力してもらう
  • パスワード再設定後は、既存セッションを無効化する
  • パスワード再設定完了後は、通知メールを送る
  • 無効な再設定リンクは専用画面で案内し、エラー表示は安全色ではなく警告色に寄せる
  • 期限切れリンクをより細かく判定する対応は、必要に応じてフェーズ2以降の検討に回す

次にやること

  • TSUMOO-15 のコードレビューを進める
  • パスワードリセットまわりの画面確認とテストを行う
  • 認証系の実装ガイドを読み直し、次に進む前に残課題を整理する

Tsumoo の公開用開発ログと技術メモ。

Copyright © 2026 tomo1185