El token de seguridad caducado ya no vale; traducir 2 errores que faltaban
checkSecurityToken guardaba expires_at pero NO lo comprobaba: un token caducado seguía siendo válido para regalos y servicios. Se comprueba en SQL (`expires_at > NOW()`) y no en JS, para que los dos lados de la comparación sean hora del servidor: expires_at se inserta como Date de JS y compararlo contra Date.now() dependería de que Node y MySQL tuvieran la misma zona. Además faltaban `errors.notAuthenticated` e `invalidRequest` en el namespace Store (ES y EN): si se caducaba la sesión, send-gift decía «Ha ocurrido un error» en vez de pedir que vuelvas a iniciar sesión — justo el mensaje que hace pensar que el botón sigue roto. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -45,11 +45,18 @@ export async function requestSecurityToken(session: SessionData, ip: string): Pr
|
||||
return { success: true, tokenDate: created[0] ? new Date(created[0].created_at).toISOString() : undefined }
|
||||
}
|
||||
|
||||
/** Comprueba que el token coincide con el de la cuenta. */
|
||||
/**
|
||||
* Comprueba que el token coincide con el de la cuenta y NO ha caducado.
|
||||
*
|
||||
* La caducidad se evalúa en SQL (`expires_at > NOW()`) a propósito: `expires_at`
|
||||
* se inserta como Date de JS y se guarda en la zona horaria del servidor, así que
|
||||
* compararlo aquí contra `Date.now()` dependería de que Node y MySQL coincidan.
|
||||
* Comparando dentro de MySQL, ambos lados son hora del servidor.
|
||||
*/
|
||||
export async function checkSecurityToken(userId: number, token: string): Promise<boolean> {
|
||||
const [rows] = await db(DB.default).query<RowDataPacket[]>(
|
||||
'SELECT token FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
||||
'SELECT token, expires_at > NOW() AS valid FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
||||
[userId],
|
||||
)
|
||||
return Boolean(rows[0] && rows[0].token === token)
|
||||
return Boolean(rows[0] && rows[0].token === token && rows[0].valid)
|
||||
}
|
||||
|
||||
@@ -1949,7 +1949,9 @@
|
||||
"invalidDestination": "The target character name is not valid.",
|
||||
"invalidSource": "The source character does not belong to your account.",
|
||||
"destinationNotFound": "The target character does not exist.",
|
||||
"invalidToken": "The security token is not valid."
|
||||
"invalidToken": "The security token is not valid.",
|
||||
"notAuthenticated": "Your session has expired. Please log in again to continue.",
|
||||
"invalidRequest": "Invalid request."
|
||||
},
|
||||
"newsTitle": "News",
|
||||
"newsIntro": "List of additions made based on the community's suggestions in our forum.",
|
||||
|
||||
@@ -1949,7 +1949,9 @@
|
||||
"invalidDestination": "El nombre del personaje de destino no es válido.",
|
||||
"invalidSource": "El personaje de origen no pertenece a tu cuenta.",
|
||||
"destinationNotFound": "El personaje de destino no existe.",
|
||||
"invalidToken": "El token de seguridad no es válido."
|
||||
"invalidToken": "El token de seguridad no es válido.",
|
||||
"notAuthenticated": "Tu sesión ha caducado. Vuelve a iniciar sesión para continuar.",
|
||||
"invalidRequest": "Solicitud no válida."
|
||||
},
|
||||
"newsTitle": "Novedades",
|
||||
"newsIntro": "Lista de adiciones realizadas en base a las sugerencias de la comunidad en nuestro foro.",
|
||||
|
||||
Reference in New Issue
Block a user