<div dir="ltr"><pre style="color:rgb(0,0,0)">Yes, we already did our own authentication flow here a couple of weeks ago, but I decided today to communicate this situation.</pre><pre style="color:rgb(0,0,0)"><br></pre><pre style="color:rgb(0,0,0)">The question is that part of the documentation should be clarified, because at least I was confused after I saw the inconsistency </pre><pre style="color:rgb(0,0,0)">when seeing the behaviour of the registration form: A malicious user will still be capable of guessing valid users, so it&#39;s something that should </pre><pre style="color:rgb(0,0,0)">be warned to developers / admins<span style="font-family:arial,sans-serif">.</span></pre><pre style="color:rgb(0,0,0)"><br></pre><pre style="color:rgb(0,0,0)">(Sorry I activated the digest mode of the mailing list and I don&#39;t really know how to properly reply to a thread without receiving the original email)</pre><pre style="color:rgb(0,0,0)">------------------</pre><pre style="color:rgb(0,0,0)">Feel free to extend the plugin then. :)

On 6/15/16 4:49 PM, Tomás García wrote:
&gt;<i> Hi,
</i>&gt;<i>
</i>&gt;<i> In this url:
</i>&gt;<i> <a href="http://keycloak.github.io/docs/userguide/keycloak-server/html/auth_spi.html#d4e4003">http://keycloak.github.io/docs/userguide/keycloak-server/html/auth_spi.html#d4e4003</a>
</i>&gt;<i>
</i>&gt;<i> , it says:
</i>&gt;<i>
</i>&gt;<i> &quot;This form *WILL NOT* re-ask the user to enter in an email or username
</i>&gt;<i> if the previous email or username did not exist. You need to prevent
</i>&gt;<i> attackers from being able to guess valid users. So, if
</i>&gt;<i> AuthenticationFlowContext.getUser() returns null, you should proceed
</i>&gt;<i> with the flow to make it look like a valid user was selected.&quot;
</i>&gt;<i>
</i>&gt;<i> And I totally agree with that, but it doesn&#39;t apply to all cases
</i>&gt;<i> unfortunately. If the admin enables &quot;User registration&quot;, the user
</i>&gt;<i> registration form will tell the a possible malicious guy if the email
</i>&gt;<i> combinations she&#39;s trying already exists, invalidating what the above
</i>&gt;<i> paragraph says. And I don&#39;t think there&#39;s a way to do the same as in the
</i>&gt;<i> &quot;forgot password&quot; feature with the registration form, because after
</i>&gt;<i> registration, there&#39;s an autologin.
</i>&gt;<i>
</i>&gt;<i> Actually it&#39;s confusing for users telling them an email was sent event
</i>&gt;<i> if it&#39;s not... People sometimes can forget that they&#39;re not registered
</i>&gt;<i> in the Keycloak system, so the &quot;forgot password&quot; feature as it is today
</i>&gt;<i> will make them wait forever. At least, sending them an email telling
</i>&gt;<i> them &quot;You&#39;re not registered. You can register visiting this link.&quot; if
</i>&gt;<i> &quot;User registration&quot; is enabled or &quot;Ask your admin to register your email
</i>&gt;<i> in the system&quot; if it&#39;s not, would be definitely better.
</i>&gt;<i>
</i>&gt;<i> Thanks.
</i>&gt;<i>
</i>&gt;<i> --
</i>&gt;<i>
</i>&gt;<i> *Tomás García Pérez
</i>&gt;<i> *
</i>&gt;<i>
</i>&gt;<i> *Software Developer*
</i>&gt;<i>
</i>&gt;<i> *IntraHouse*
</i>&gt;<i>
</i>&gt;<i>
</i>&gt;<i>
</i>&gt;<i> _______________________________________________
</i>&gt;<i> keycloak-user mailing list
</i>&gt;<i> <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">keycloak-user at lists.jboss.org</a>
</i>&gt;<i> <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a>
</i>&gt;</pre><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p style="margin:0cm 0cm 0.0001pt;color:rgb(0,0,0);font-family:&quot;Times New Roman&quot;,serif;font-size:12pt"><b><span style="font-size:11pt;font-family:Arial,sans-serif;color:rgb(94,94,94)" lang="EN-US">Tomás García Pérez<br></span></b></p><p style="margin:0cm 0cm 0.0001pt"><font color="#5e5e5e" face="Arial, sans-serif"><span style="font-size:12px"><b>Software Developer</b></span></font></p><p style="margin:0cm 0cm 0.0001pt;color:rgb(0,0,0);font-family:&quot;Times New Roman&quot;,serif;font-size:12pt"><span style="font-size:9pt;font-family:Calibri,sans-serif" lang="EN-US"> IntraHouse<br></span></p></div></div></div></div></div>
</div>