Release Notes v1.1.0
🚀 新機能 (New Features)
1. 招待制サインアップ (Invite-Only Registration)
未承認ユーザーのアクセスを防ぐため、招待制のサインアップフローを導入しました。
- 新規ユーザーは管理者からの招待リンク (
/join?token=...) 経由でのみ登録可能です。 - OAuth認証後、招待された組織・チーム・ロールが自動的に適用されます。
- 無効な招待や招待なしのアクセスには、専用のエラー画面 (
/error) が表示されます。
2. 新規メンバーオンボーディング (Onboarding Flow)
組織に参加したメンバーがスムーズに活動を開始できるよう、対話形式のセットアップウィザードを実装しました。
- Welcome Screen: 歓迎メッセージと概要説明
- Profile Setup: 名前、アイコン、タイムゾーンの設定
- Team Selection: 所属チームの選択(
JoinTeamAPIの復元とセキュリティ強化) - Skill Check: 初期のスキルレベル自己申告
3. 管理画面の強化 (Admin Enhancements)
- ユーザー招待機能: 管理画面からメールアドレスを指定して招待リンクを発行・送信できます。
- 監査ログUI:
AdminおよびSuper User向けに、システム操作履歴(ログイン、権限変更等)を閲覧・検索できるテーブルUIを追加しました。
🛡️ セキュリティ改善 (Security Improvements)
1. 認証・セッション管理の強化
- HttpOnly Cookies: トークン管理をLocal StorageからHttpOnly Cookieへ完全移行しました。XSS攻撃への耐性が向上しています。
- DevLoginの無効化: 本番環境 (
ReleaseMode) では開発用バックドア (/auth/dev-login) が自動的に無効化されます。
2. 権限分離 (RBAC) の徹底
- 組織間のデータ分離: データベースクエリレベルで
OrganizationIDのフィルタリングを徹底し、別組織のデータへのアクセスを遮断しました。 - 管理者権限の厳格化: 管理データ(スキル定義、カテゴリ等)の変更操作を
Admin権限以上に限定しました。
🛠️ その他の変更 (Other Changes)
- ドキュメント更新:
README.mdに新機能と環境構築手順を追記しました。デプロイ準備チェックリストを追加しました。 - 環境変数:
FRONTEND_URL,INVITATION_SECRET_KEY等の取扱を整理しました。