fix: magic links + legals

Author: AlbanSdl

api/src/auth/auth.controller.ts

@@ -1,4 +1,15 @@
-import { Body, Controller, Delete, Get, Headers, HttpCode, HttpStatus, Post } from '@nestjs/common';
+import {
+  Body,
+  Controller,
+  Delete,
+  Get,
+  Headers,
+  HttpCode,
+  HttpStatus,
+  Post,
+  Query,
+  Request as Req,
+} from '@nestjs/common';
 import { AuthService } from './auth.service';
 import AuthSignInReqDto from './dto/req/auth-sign-in-req.dto';
 import { IsPublic } from './decorator';
@@ -10,6 +21,7 @@ import { ApiAppErrorResponse } from '../app.dto';
 import { ConfigModule } from '../config/config.module';
 import AuthCreateMagicDto from './dto/req/auth-create-magic.dto';
 import AuthDeleteMagicDto from './dto/req/auth-delete-magic.dto';
+import { Request } from 'express';
 
 @Controller('auth')
 @ApiTags('Authentication')
@@ -87,15 +99,19 @@ export class AuthController {
     };
   }
 
-  @HttpCode(HttpStatus.OK)
+  @HttpCode(HttpStatus.NO_CONTENT)
   @IsPublic()
   @Post('magic')
   @ApiOperation({
     description: 'Generates a magic link for the user. This link should be sent to the user by email.',
   })
   @ApiBody({ type: AuthCreateMagicDto })
-  async generateMagicLink(@Body() dto: AuthCreateMagicDto, @Headers() { 'X-Forwarded-for': ip }): Promise<void> {
-    const linkData = await this.authService.generateMagicLink(dto.login, ip);
+  async generateMagicLink(
+    @Body() dto: AuthCreateMagicDto,
+    @Headers() { 'X-Forwarded-for': ip },
+    @Req() res: Request,
+  ): Promise<void> {
+    const linkData = await this.authService.generateMagicLink(dto.login, ip || res.socket.remoteAddress);
     if (!linkData) throw new AppException(ERROR_CODE.INVALID_CREDENTIALS);
     await this.authService.sendMagicLink(dto.login, linkData.code, linkData.name);
   }
@@ -107,8 +123,11 @@ export class AuthController {
     description: 'Consumes/Deletes the magic link.',
   })
   @ApiBody({ type: AuthDeleteMagicDto })
-  async consumeMagicLink(@Body() dto: AuthDeleteMagicDto): Promise<AccessTokenResponse> {
-    const { token, id } = (await this.authService.consumeMagicLink(dto.spell)) ?? {};
+  async consumeMagicLink(@Query() dto: AuthDeleteMagicDto): Promise<AccessTokenResponse> {
+    const { token, id } =
+      (await this.authService.consumeMagicLink(
+        dto.spell.replaceAll(/(?<=^.{8}|^.{12}|^.{16}|^.{20})/g, '-').toLocaleLowerCase(),
+      )) ?? {};
     if (!token) throw new AppException(ERROR_CODE.INVALID_CREDENTIALS);
     const user = id ? await this.authService.getUser(id) : undefined;
     return {

api/src/auth/auth.service.ts

@@ -110,35 +110,45 @@ export class AuthService {
   }
 
   async sendMagicLink(email: string, token: string, name: string): Promise<void> {
-    return this.mail.sendGeneric({
-      recipient: email,
-      title: 'Accès à ton compte BuckUTT',
-      content: `<h2>Bonjour ${name},</h2><p>Voici le lien pour accéder à ton compte BuckUTT : <a href="${this.config.FRONT_URL}/magic?spell=${token}">${this.config.FRONT_URL}/magic?spell=${token}</a></p><p>Le lien est valide pendant ${this.config.MAGIC_LINK_VALIDITY / 60000} minutes. Si tu n'as pas demandé ce lien, ignore ce message.</p><p>À bientôt !</p>`,
-    });
+    try {
+      return this.mail.sendGeneric({
+        recipient: email,
+        title: 'Accès à ton compte BuckUTT',
+        content: `<h2>Bonjour ${name},</h2><p>Voici le lien pour accéder à ton compte BuckUTT : <a href="${this.config.FRONT_URL}/magic?spell=${token}">${this.config.FRONT_URL}/magic?spell=${token}</a></p><p>Le lien est valide pendant ${this.config.MAGIC_LINK_VALIDITY / 60000} minutes. Si tu n'as pas demandé ce lien, ignore ce message.</p><p>À bientôt !</p>`,
+      });
+    } catch (e) {
+      console.warn(e);
+      // The student mail does not exist anymore, contact bde
+      return null;
+    }
   }
 
   async consumeMagicLink(token: string): Promise<{ token: string; id: string } | null> {
-    const link = await this.prisma.magicLink.update({
-      data: {
-        usedAt: new Date(),
-      },
-      where: {
-        usedAt: null,
-        token,
-        createdAt: {
-          gte: new Date(Date.now() - this.config.MAGIC_LINK_VALIDITY),
+    try {
+      const link = await this.prisma.magicLink.update({
+        data: {
+          usedAt: new Date(),
         },
-      },
-      select: {
-        user: {
-          select: {
-            id: true,
-            email: true,
+        where: {
+          usedAt: null,
+          token,
+          createdAt: {
+            gte: new Date(Date.now() - this.config.MAGIC_LINK_VALIDITY),
           },
         },
-      },
-    });
-    if (!link) return null;
-    return { token: await this.signToken(link.user.id, link.user.email), id: link.user.id };
+        select: {
+          user: {
+            select: {
+              id: true,
+              email: true,
+            },
+          },
+        },
+      });
+      return { token: await this.signToken(link.user.id, link.user.email), id: link.user.id };
+    } catch {
+      // Link is not valid
+      return null;
+    }
   }
 }

api/src/mails/mail.service.ts

@@ -45,7 +45,7 @@ export class MailService {
       if (!match) throw new Error('No title found in the email template');
       const derivedSubject = match[1];
       const mailOptions = {
-        from: this.config.SMTP_FROM,
+        from: `${this.config.SMTP_FROM} <${this.config.SMTP_USER}>`,
         to: recipient,
         subject: derivedSubject,
         html: content,

front/public/locales/fr/common.json.ts

@@ -8,6 +8,16 @@ export default {
   'login.explanation.line1': 'Connecte toi avec tes anciens',
   'login.explanation.line2': 'identifiants BuckUTT',
   'login.loading': 'Chargement',
+  'login.loading.2': 'Merci de patienter quelques instants...',
+  'login.magic': 'Mot de passe oublié',
+  'login.magic.undo': 'En fait je me souviens de mon mot de passe 🤭',
+  'login.magic.generate': 'Se connecter avec un email',
+  'login.magic.sent': 'Email envoyé',
+  'login.magic.sent.2': 'Utilise le mail que tu as reçu pour te connecter',
+  'login.magic.success': 'Tu est connecté !',
+  'login.magic.success.2': 'Redirection en cours...',
+  'login.magic.error': 'Une erreur est survenue...',
+  'login.magic.error.2': 'Merci de réessayer plus tard',
   'login.fail.creds': 'Identifiants incorrects',
   'login.fail.other': 'Impossible de se connecter',
   'magic_link.placeholder': 'Adresse email',

front/src/app/legal/page.tsx

@@ -14,12 +14,12 @@ export default function LegalPage() {
   const ASSOCIATION_EMAIL = 'ung@utt.fr';
 
   // Data Protection Officer
-  const DPO_NAME = 'Guillaume Etheve';
+  const DPO_NAME = 'Camille Moussou';
   const DPO_EMAIL = 'ung@utt.fr';
 
   // Updates
-  const LAST_TERMS_UPDATE = '15/09/2024';
-  const LAST_PRIVACY_POLICY_UPDATE = '15/09/2024';
+  const LAST_TERMS_UPDATE = '03/04/2025';
+  const LAST_PRIVACY_POLICY_UPDATE = '03/04/2025';
 
   return (
     <div id="legal" className={styles.legal}>
@@ -41,31 +41,6 @@ export default function LegalPage() {
           <a href={`mailto:${ASSOCIATION_EMAIL}`}>{ASSOCIATION_EMAIL}</a>
         </p>
         <h1>Conditions Générales d'Utilisation (CGU)</h1>
-        {/* <h2 className={styles.articleTitle}>Collecte des données</h2>
-        <p>
-          Le site collecte certaines données personnelles renseignées par l’Utilisateur sur le site telles que le nom et
-          le prénom. Ces données ne seront en aucun cas échangées, distribuées ou vendues à un tiers sans l'accord
-          explicite de l'Utilisateur. L'Utilisateur peut, à tout moment, accorder ou révoquer son accord pour partager
-          ses données avec les autres utilisateurs du site.
-          <br />
-          En vertu de la loi Informatique et Libertés, en date du 6 janvier 1978, l'Utilisateur dispose d'un droit
-          d'accès, de rectification, de suppression et d'opposition de ses données personnelles. L'Utilisateur peut
-          exercer ce droit directement en effectuant une demande par mail à l’adresse{' '}
-          <a href="mailto:ung@utt.fr">ung@utt.fr</a>.
-          <br />
-          Le responsable du traitement des données est Guillaume ETHEVE.
-          <br />
-          L’équipe technique, les administrateurs, et les modérateurs du site pourront accéder aux données personnelles
-          de l'Utilisateur, sans nécessiter l'autorisation de l'utilisateur de partager ses données personnelles avec
-          les autres utilisateurs du site.
-          <br />
-          Les modérateurs du site sont désignés par l'UNG. L'UNG ne peut être tenu responsable des actions des
-          modérateurs du site. L'UNG doit cependant s'assurer, dans les limites du raisonnable, que les modérateurs sont
-          des personnes de confiance et respecteront la vie privée des utilisateurs.
-          <br />
-          Ces données seront conservées jusqu'à ce que l'Utilisateur décide de les supprimer, ou qu'il ait terminé ses
-          études à l'Université de Technologie de Troyes et n'ait pas demandé la conservation de son compte.
-        </p> */}
         <h2 className={styles.articleTitle}>Propriété intellectuelle</h2>
         <p>
           Le contenu du site internet reste la propriété de l'association ASS UTT NET GROUP, seul titulaire des droits
@@ -162,41 +137,54 @@ export default function LegalPage() {
         <h2 className={styles.articleTitle}>
           3. Données à caractère personnel collectées et traitées dans le cadre de la navigation sur le site
         </h2>
-        {/* <p>
-          Les données à caractère personnel collectées sur le site sont les suivantes :
+        <h3 className={styles.subArticleTitle}>3.1. Données collectées</h3>
+        <p>
+          Les données collectés par ce site sont de trois types distincts :
           <ul>
-            <li>Les données de connexion (adresse IP, logs) ;</li>
-            <li>Les données de navigation (type de navigateur, durée de la visite, pages visitées) ;</li>
-            <li>Les données de localisation.</li>
+            <li>
+              <b>les données préexistantes :</b> Certaines données (nom, prénom, adresse mail, mot de passe, solde
+              buckutt) sont issues des informations des anciens comptes buckutt. Elles ne peuvent en aucun cas être
+              issues d'un autre service.
+            </li>
+            <li>
+              <b>les données renseignées :</b> L'utilisateur est incité à fournir certaines données dans le cadre du
+              fonctionnement du service (IBAN, BIC). Ces données sont modifiables jusqu'à émission du remboursement par
+              l'association BDE UTT.
+            </li>
+            <li>
+              <b>les données de services :</b> Afin d'assurer le bon fonctionnement du service, certaines données
+              (adresse ip, logs, horodatages) sont collectées. Elles permettent de vérifier la légitimité des actions
+              menées sur la plateforme et de pouvoir enquêter sur les évènements anormaux.
+            </li>
           </ul>
-          <br />
         </p>
-
+        <h3 className={styles.subArticleTitle}>3.2. Mode de collecte des données</h3>
         <p>
-          En cas de création d'un compte utilisateur, sont également collectées les données suivantes :
+          Les données sont collectées de différentes manières :
           <ul>
-            <li>Nom et prénom ;</li>
-            <li>Adresse email ;</li>
-            <li>Numéro de téléphone ;</li>
-            <li>Adresse postale.</li>
+            <li>Les données préexistantes sont extraites de vos anciennes données BuckUTT.</li>
+            <li>
+              Les données renseignées sont fournies par l'utilisateur (vous). Vous pouvez décider ne pas les fournir
+              mais le service ne pourra pas fonctionner correctement.
+            </li>
+            <li>Les données de service sont collectées par le serveur lors de l'utilisation du site internet.</li>
           </ul>
+        </p>
+        <h3 className={styles.subArticleTitle}>3.3. Transmissions des données à un tier</h3>
+        <p>
+          Certaines informations de l'utilisateur sont transmises à l'association BDE UTT pour permettre le service
+          fournit par l'application. Tout utilisateur ne renseignant pas son IBAN ne verra pas ses données transmises à
+          BDE UTT.
           <br />
-
-
-          La collecte et le traitement de ces données répond aux finalités suivantes :
-
+          <br />
+          Les informations suivantes sont transmises de manière chiffrée à BDE UTT dans le cadre de l'utilisation du
+          service :
           <ul>
-            <li>Statistiques et amélioration du site ;</li>
-            <li>Envoi de newsletters ;</li>
-            <li>Fonctionnement des fonctionnalités internes au site telles que le trombinoscope et le cumul d'emploi du temps ;</li>
+            <li>Nom, Prénom</li>
+            <li>Solde BuckUTT</li>
+            <li>Informations bancaires : IBAN, BIC</li>
           </ul>
-        </p> */}
-        <h3 className={styles.subArticleTitle}>3.1. Données collectées</h3>
-        <p>{/** TODO: Add Data collected */}</p>
-        <h3 className={styles.subArticleTitle}>3.2. Mode de collecte des données</h3>
-        <p>{/** TODO: Add Data Collection Mode */}</p>
-        <h3 className={styles.subArticleTitle}>3.3. Transmissions des données à un tier</h3>
-        <p>{/** TODO: Add Matomo and Sentry here */}</p>
+        </p>
         <h3 className={styles.subArticleTitle}>3.4. Informations relatives aux cookies</h3>
         <p>
           Nous utilisons des cookies afin d'obtenir des statistiques sur notre site web. Ces informations ne seront en