/mypage 公開トークン失効ポリシー

目的

求職活動が終了した候補者の /mypage 公開URL を自動で無効化し、トークン漏えい時の被害継続を防ぐ。

失効対象ステータス

candidates.status_id が以下のいずれかに変更された時点で失効する。

• 11: 入社
• 12: 音信不通
• 13: 活動終了（ヒアリング）
• 14: 活動終了（キャリア）
• 19: 活動終了（選考中）

挙動

• candidates.public_token_expires_at に現在時刻をセットする。
• 一度失効したトークンは 復活しない。
• /mypage へのアクセスは 404（無効トークン扱い）となる。

実装方針

• バックエンドの候補者ステータス更新処理で失効日時を設定する。
• 公開APIは public_token_expires_at IS NULL OR > now() の条件を満たす場合のみ有効。
• 既に終了状態の候補者はマイグレーションで一括失効する。

ユーザー向け文言

• 管理画面のURL表示欄と /mypage の無効画面に、 「弊社（notari）担当者にお問い合わせください」 の文言を追加する。