AUTH_014_PENDING_AUTH_STATE_NOT_IN_URL:

Severity: blocker. Bereich: gui/auth-magic-code-session.

Regel

(kein Regeltext)

Reflection-Check

check:
  applies_when: login_or_magic_code_flow_preserves_identifier == true
  fail: Redirects wie /login?email=... oder /login/code?email=... transportieren personenbezogene
    Auth-Daten in der URL.
  pass: Email oder anderer Login-Identifier bleibt ohne erneute Eingabe erhalten,
    aber nicht in URL, Query, Fragment oder Redirect-Location; ein serverseitiger
    Pending-State wird ueber opakes Secure/HttpOnly/SameSite-Cookie-Token mit kurzer
    TTL referenziert und nach Erfolg geloescht.
  type: flow

Evidence

alle Regeln dieses Bereichs