🏠 Overview 🎯 Features 🎯 Email & Password Login

Email & Password Login

Feature Detail

medium complexity extracted Authentication & Access Control Confidence: 100%
4
Components
2
Shared
0
User Stories
Yes
Analyzed

Description

Email and password authentication providing the baseline sign-in path for all Meander products from day one. Users authenticate with verified email credentials, receive short-lived access tokens plus rotating refresh tokens, and can reset forgotten passwords through a self-service flow. This is the MVP authentication mechanism that ships before BankID and Vipps are integrated in Phase 2, ensuring every organization can onboard and operate immediately. The flow respects the platform's no-organization-selection rule: tenant context is derived from the account, never picked at the login screen.

Sources & reasoning

Source explicitly designates email/password as the MVP authentication mechanism with BankID/Vipps deferred to Phase 2. Phase 1 MVP deliverables list it directly under Meander Mobile App scope, so target_release is the verbatim phase name 'MVP'.

Analysis

Business Value

Email/password login unblocks the entire MVP rollout - without a working sign-in path, no other feature is reachable. Shipping it first lets all four pilot organizations (NHF, Blindeforbundet, HLF, Barnekreftforeningen) plus Norse Test begin field testing in spring without waiting for BankID/Vipps contracts, fee negotiations, or integration work. It also serves as a permanent fallback for users without BankID, for support sessions, and for the Admin Web Portal where cookie-based web sessions are required. The decoupled Auth Module design means this credential path can later be deprecated per tenant without rewriting consumers.

Implementation Notes

Implemented inside the decoupled Authentication Module (Product 3) so it can later move into its own service without consumer changes. Passwords stored as bcrypt hashes in Supabase PostgreSQL (eu-north-1); short-lived JWT access tokens plus rotating refresh tokens issued on success. Mobile stores tokens in the platform secure store; admin portal uses HTTP-only cookies. Password reset uses a tokenized email link delivered through Mailgun (planned subprocessor). The module owns identity only - role and organization claims are attached via the generic claims-bag extension point, never by the auth module reading product tables.

Quality Assurance

Peer Mentor (mobile login) · Organization Administrator (admin portal login) · Coordinator (same flow as Peer Mentor on mobile) · Global Administrator (admin portal login)
2
Scenarios
9
UAT Steps
24
A11y Annotations
2
Role Boundaries
Peer Mentor (Likeperson)

Peer Mentor (Likeperson)

Quick UAT

  1. Apne Meander-mobilappen pa en testenhet. Verifiser at Logg inn-skjermen vises med felt for E-post og Passord.
  2. Skriv inn en gyldig registrert e-postadresse og riktig passord. Trykk Logg inn.
  3. Bekreft at appen viser hjemskjermen for Likeperson med fanene Hjem, Kontakter, Legg til, Arbeid og Varsler.
  4. Logg ut, apne appen igjen og skriv inn riktig e-post men feil passord tre ganger. Bekreft at feilmelding 'Ugyldig e-post eller passord' vises pa norsk.
  5. Pa Logg inn-skjermen trykk Glemt passord. Skriv inn e-postadressen og bekreft at melding 'En e-post for tilbakestilling er sendt' vises og at e-post mottas.

Quick UAT — Accessibility

  1. Apne Meander-mobilappen pa en testenhet. Verifiser at Logg inn-skjermen vises med felt for E-post og Passord.
    • Screen reader VoiceOver/TalkBack annonserer 'Logg inn, overskrift'; tab-rekkefolge: E-post-felt, Passord-felt, Logg inn-knapp, Glemt passord-lenke.
    • Focus visibility Forste fokuserbare element er E-post-feltet med synlig fokusring og label 'E-post, tekstfelt, obligatorisk'.
    • Contrast Tekst og inputrammer har minst 4.5 til 1 kontrast mot bakgrunn.
  2. Skriv inn en gyldig registrert e-postadresse og riktig passord. Trykk Logg inn.
    • Screen reader Passord-felt annonseres som 'Passord, sikkert tekstfelt'; tegn leses ikke opp under innskriving (sensitivt felt).
    • Keyboard / focus Tab gar fra E-post til Passord til Logg inn; Enter i Passord-feltet sender skjemaet.
    • Touch target Logg inn-knappen er minst 24 x 24 CSS-piksler (faktisk 48 x 48).
  3. Bekreft at appen viser hjemskjermen for Likeperson med fanene Hjem, Kontakter, Legg til, Arbeid og Varsler.
    • Focus visibility Fokus flyttes til hovedinnholdet pa Hjem-skjermen, ikke tilbake til toppen av siden.
    • Live region 'Innlogging fullfort. Hjem-skjerm lastet.' annonseres via polite live region.
  4. Logg ut, apne appen igjen og skriv inn riktig e-post men feil passord tre ganger. Bekreft at feilmelding 'Ugyldig e-post eller passord' vises pa norsk.
    • Screen reader Feilmelding annonseres via aria-live assertive og er knyttet til Passord-feltet via aria-describedby.
    • Zoom Skjermen er brukbar ved 200 prosent zoom uten horisontal scroll.
    • Contrast Feilmeldingstekst er ikke kun rod farge - den har ikon og tekst slik at status ikke formidles av farge alene.
  5. Pa Logg inn-skjermen trykk Glemt passord. Skriv inn e-postadressen og bekreft at melding 'En e-post for tilbakestilling er sendt' vises og at e-post mottas.
    • Keyboard / focus Glemt passord-lenken er noybar med Tab og aktiveres med Enter eller mellomrom.
    • Focus visibility Etter innsending flyttes fokus til bekreftelsesmeldingen, ikke tilbake til toppen.
    • Live region 'En e-post for tilbakestilling er sendt' annonseres via polite live region etter innsending.
Organization Administrator

Organization Administrator

Quick UAT

  1. Apne Admin Web Portal i nettleser. Verifiser at Logg inn-siden vises med felt for E-post og Passord.
  2. Skriv inn registrert org-admin e-post og riktig passord. Trykk Logg inn.
  3. Bekreft at Admin Dashboard lastes med KPI-er og at brukernavnet vises oppe til hoyre.
  4. Logg ut. Forsok a logge inn med samme e-post og feil passord fem ganger pa rad. Bekreft at kontoen lases og melding 'Kontoen er midlertidig last pa grunn av for mange feilede forsok' vises.

Quick UAT — Accessibility

  1. Apne Admin Web Portal i nettleser. Verifiser at Logg inn-siden vises med felt for E-post og Passord.
    • Screen reader Sidetittel 'Logg inn - Meander Admin' annonseres; landmarks main og form er korrekt merket.
    • Keyboard / focus Tab-rekkefolge: E-post, Passord, Logg inn, Glemt passord; Shift+Tab gar baklengs.
    • Focus visibility Synlig fokusring pa alle inputfelt og knapp; minst 3 til 1 kontrast pa fokusindikator.
  2. Skriv inn registrert org-admin e-post og riktig passord. Trykk Logg inn.
    • Keyboard / focus Enter i Passord-feltet sender skjemaet uten musbruk.
    • Focus visibility Logg inn-knapp har aria-label 'Logg inn' og er ikke deaktivert ved sending - viser i stedet lasteindikator.
  3. Bekreft at Admin Dashboard lastes med KPI-er og at brukernavnet vises oppe til hoyre.
    • Screen reader Hovedoverskrift 'Dashboard' annonseres som h1; fokus flyttes til main-innhold.
    • Live region 'Innlogging fullfort. Dashboard lastet.' annonseres via polite live region.
  4. Logg ut. Forsok a logge inn med samme e-post og feil passord fem ganger pa rad. Bekreft at kontoen lases og melding 'Kontoen er midlertidig last pa grunn av for mange feilede forsok' vises.
    • Screen reader Lockout-melding annonseres via aria-live assertive.
    • Zoom Meldingen er fullt synlig ved 200 prosent zoom uten avkutting.
    • Contrast Feilmelding bruker ikon og tekst, ikke kun farge.

Role Boundaries

2 role(s) must NOT access this feature
  • Prospective Buyer

    Prospective Buyer har ingen konto i Meander - Logg inn-skjermer i mobilapp og admin-portal er ikke tilgjengelige fra Sales Website. Sales Website har ingen pa-logging og lenker ikke til operasjonelle innloggingssider.

  • Global Administrator

    Global Administrator kan logge inn pa Admin Web Portal med e-post/passord, men har INGEN tilgang til en organisasjons operasjonelle data uten tidsbegrenset support-grant fra Org Admin. Forsok pa mobilappen avvises (Global Admin har ikke mobil-innlogging).

Expected End State

  • Peer Mentor (Likeperson)

    Likepersonen har en aktiv mobilsesjon med kortvarig JWT access-token og rotende refresh-token lagret i platformens secure store. Hjemskjermen for Likeperson vises. Ved feil passord forblir brukeren pa Logg inn-skjermen med tydelig feilmelding; etter for mange forsok lases kontoen midlertidig.

  • Organization Administrator

    Org Admin har en aktiv admin-portal-sesjon med HTTP-only cookie. Admin Dashboard er lastet. Ved gjentatte feilede forsok lases kontoen midlertidig og hendelsen logges i audit log.

Components (6)

User Interface (2)

ui Login Screen medium ui Password Reset Screen medium

Service Layer (1)

service Auth Service medium

Data Layer (1)

data Credential Store medium

Shared Components

These components are reused across multiple features

User Stories

No user stories have been generated for this feature yet.