Remplacer l'authentification par mot de passe par le code de connexion pour les usagers

[Holist]

En lien avec #5481

Suite de #6203

Supprime l'authentification par mot de passe pour les usagers

Les usagers passent désormais exclusivement par le code de connexion par email (déjà en place). Cette PR retire tout le code lié au mot de passe côté usager.

Modules Devise supprimés du modèle User :

:confirmable, :recoverable, :validatable, :database_authenticatable, :registerable

Fichiers supprimés :

• users/passwords_controller.rb + vues (réinitialisation de mot de passe)
• users/confirmations_controller.rb (confirmation de compte par email)
• users/registrations/new.html.slim + Users::RegistrationForm (inscription)
• Specs correspondantes

Choix d'architecture :

La colonne confirmed_at est remplacée par latest_login_at plus juste sémantiquement (colonne mise en place dans cette pr).

Adaptations :

• Les routes user ne pouvant plus être générées implicitement par Devise, elles sont déclarées explicitement via devise_scope
• Les seeds et la factory ne définissent plus de password pour les usagers
• Correction d'un effet de bord sur les vues agents : le helper générique registration_path(resource_name) de Devise disparaît quand un seul scope a :registerable → remplacé par agent_registration_path

Non traité dans cette PR (prévu séparément) :

• Suppression des colonnes devises sur la table users

Prochaines étapes :

• gérer la connexion usager lorsqu'il y a plusieurs comptes usagers avec le même email (email et notification_email)

[Holist]

Tout ça n'avait plus grand chose à faire la et a été déplacé dans spec/models/user_spec.rb

[francois-ferrandis]

En effet, ça teste User#domain, bien vu !

[francois-ferrandis]

J'ai tout lu ligne par ligne et je suis tellement heureux de voir tout ce que ça simplifie ! J'ai deux ou trois suggestions qu'on peut discuter, mais sinon ça me paraît bon à partir en prod. 🥹

[francois-ferrandis]

En effet, ça teste User#domain, bien vu !

[aminedhobb]

Merci @Holist , trop cool de voir tout ce code enlevé 👏 🫶 !!
J'ai juste quelques questions que je t'ai posé ici.

Aussi qu'est-ce qu'il se passe quand des usagers vont cliquer sur les anciens liens d'invitation à se créer un compte après cette PR ?

[aminedhobb]

gros nitpick: personnellement j'aurais garder l'alias de confirmed? à confirmed_at?, c'est plus beau sémantiquement et si on doit rajouter de la logique de confirmation ce serait plus facile

[Holist]

A ce sujet cette PR de @francois-ferrandis qu'on va merge avant : #6221

[Holist]

Après discussions avec @francois-ferrandis , on a donc remplacé confirmed? et le champ confirmed_at par already_logged_in? et latest_login_at

[aminedhobb]

Je trouve ça peut-être dommage que tous les types de connexions mettent à jour la même colonne confirmed_at de la même façon.
On ne saura pas distinguer les connexions via login code, fc et password

[Holist]

A ce sujet cette PR de @francois-ferrandis qu'on va merge avant : #6221

[Holist]

On a remplacé cette ligne par user.update!(latest_login_at: Time.zone.now) dans #6221

[Holist]

Aussi qu'est-ce qu'il se passe quand des usagers vont cliquer sur les anciens liens d'invitation à se créer un compte après cette PR ?

Comme je l'avais précisé dans la description de la PR précédente les anciens liens d'invitations donneront une 404. On peut toujours mettre en place un système de redirection vers le sign_in pour les anciens liens si on estime que ca vaut le coup @francois-ferrandis

[Holist]

@francois-ferrandis pour information. Je récupère les infos du confirmed_at qui passe dans ignored_columns

[francois-ferrandis]

Est-ce que c'est pas plutôt un update write à tous les coups ?

    user.latest_login_at = Time.zone.now

Et d'ailleurs ça pourrait être fusionné avec le update! juste en dessous.

[Holist]

évidemment !

[Holist]

fait ici

[aminedhobb]

Vu avec @Holist en live, ça m'a l'air top 🚀 !

[aminedhobb]

Quel kiff d'enlever tous ces skip_* 😄