Alles, was Sie wissen sollten bevor Sie installieren.
Ein detaillierter Blick darauf, wie DataFirefly Magic Link funktioniert, warum wir es so gebaut haben und der Gedanke hinter den Funktionen oben.
Warum das Passwort ersetzen?
E-Commerce-Studien zeigen, dass 30 bis 40 Prozent der bei der Anmeldung abgebrochenen Warenkörbe abgebrochen werden, weil der Kunde sein Passwort vergessen hat. Und jede Rücksetzungsanfrage erzeugt eine E-Mail, eine Verzögerung, manchmal ein Support-Ticket. Magic Links beseitigen diese Reibung: Der Kunde gibt seine E-Mail ein, erhält einen Link, klickt darauf und ist angemeldet. Einfacher für ihn, weniger Support für Sie und ein schnellerer Checkout-Prozess.
So funktioniert das Modul
Unter dem Standardanmeldeformular bietet ein zweites Formular die E-Mail-basierte Anmeldung an. Der Kunde gibt seine Adresse ein, eine AJAX-Anfrage generiert einen 256-Bit-Zufallstoken, speichert nur dessen SHA-256-Hash in der Datenbank und versendet den Rohtoken per E-Mail. Der Kunde klickt auf den Link in der E-Mail, landet auf einer Bestätigungsseite, validiert mit einem Klick und ist in der PrestaShop-Sitzung authentifiziert wie bei einer Standardanmeldung. Native Authentifizierungs-Hooks werden ausgelöst, sodass jedes andere Ihrer Module weiterhin normal funktioniert.
Sicherheit für den Produktionsbetrieb
Der Rohtoken existiert ausschließlich in der versendeten E-Mail. In der Datenbank wird nur der SHA-256-Hash gespeichert. Ein Datenbankleck liefert daher keinen verwendbaren Link. Jeder Token ist einmalig und wird sofort bei Nutzung als verbraucht markiert. Die Gültigkeitsdauer ist konfigurierbar (Standard 15 Minuten, Maximum 24 Stunden). Ein doppelter Rate-Limiter überwacht die Anzahl der Anfragen pro IP-Adresse und pro Kundenkonto innerhalb einer gleitenden Stunde, mit anpassbaren Schwellenwerten. Und die AJAX-Antwort ist bewusst generisch, um zu verhindern, dass ein Angreifer ein existierendes von einem nicht existierenden Konto unterscheiden kann.
Das Problem mit E-Mail-Scannern und die Lösung
Outlook mit Safe Links, Gmail mit der Vorschaufunktion, Unternehmens-Antivirus und Sicherheits-Proxies besuchen automatisch jeden Link in eingehenden E-Mails, um sie zu scannen. Wenn das Modul den Token beim ersten GET verbrauchen würde, würden diese Scanner den Link aufbrauchen, bevor der Kunde überhaupt klicken kann. Das Modul nutzt daher einen zweistufigen Ablauf: GET zeigt eine eigenständige Bestätigungsseite mit einer Schaltfläche, und nur der durch den echten Klick ausgelöste POST verbraucht den Token. Scanner senden keine beliebigen Formulare ab und können den Link daher nicht aufbrauchen. Dasselbe Muster verwenden Slack, Notion, Vercel und Auth0 für ihre Magic Links.
Universelle Bestätigungsseite
Die Seite, auf der der Kunde nach dem Klicken des Links landet, wird als eigenständiges HTML5-Dokument unabhängig vom PrestaShop-Theme gerendert. Das garantiert perfektes Rendering auf jedem Theme — Classic, Hummingbird, Warehouse, MySmartBook oder benutzerdefiniert. Die Seite bleibt schlicht und zentriert, mit dem Shopnamen als Kopfzeile, einem personalisierten Willkommenstitel, einem blauen Bestätigungsbutton und einem Sicherheitshinweis. Keine externen CSS-Abhängigkeiten, kein JavaScript-Framework geladen, sofortiges Rendering.
Automatische Mehrsprachigkeit
Das Modul liefert HTML- und Klartext-E-Mail-Vorlagen, übersetzt in die vier offiziellen Sprachen von PrestaShop France: Französisch, Englisch, Spanisch und Deutsch. Die Sprache der gesendeten E-Mail entspricht automatisch der Sprache des Kundenkontos. Interface-Strings (Anforderungsformular, Bestätigungsseite, Fehlermeldungen) werden ebenfalls über das Standard-Übersetzungssystem von PrestaShop übersetzt und können daher bei Bedarf vom Backoffice aus angepasst werden.
Backoffice-Konfiguration und Statistiken
Eine Konfigurationsseite, erreichbar über den Modulmanager, zeigt alle Einstellungen: Aktivierung, Anzeige des Formulars auf der Anmeldeseite, Gültigkeitsdauer, Rate-Limit-Schwellenwerte, Weiterleitung nach Anmeldung. Drei Live-Zähler zeigen aktive Tokens, Anmeldungen der letzten 24 Stunden und ausgestellte Links. Eine Schaltfläche ermöglicht die manuelle Bereinigung abgelaufener Tokens. Das Speichern verwendet ein POST- dann Redirect- dann GET-Muster, um Fehlalarme von Phishing-Klassifikatoren wie Google Safe Browsing zu vermeiden.
Es gibt noch keine Rezensionen.