8c85cf2dbe
Dos cosas que el port de Django cambió sin querer:
- El hash de activación se generaba con `randomBytes(16).toString('hex')`: 32
caracteres, sí, pero solo `0-9a-f`. El original era `get_random_string(32)`,
alfanumérico con mayúsculas y minúsculas (`?act=P4JHQDJey2jJDnEBnqUePI5O2qEFB1`).
- El aviso de cuenta creada era un genérico «Revisa tu correo», mientras que el
original decía qué cuenta se creó y a qué dirección fue el enlace. Se recupera
el formato de dos líneas (con id `create-response`, como el original).
El muestreo por rechazo del token de seguridad se sube a `lib/random-token.ts` y
lo comparten los dos generadores, que solo se diferencian en el alfabeto: letras
para el token que se teclea a mano, alfanumérico para el hash de la URL.
Verificado con 100.000 hashes: todos casan /^[A-Za-z0-9]{32}$/, salen los 62
caracteres y la desviación por carácter se queda en 1,3% (ruido).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
31 lines
1.3 KiB
TypeScript
31 lines
1.3 KiB
TypeScript
import crypto from 'node:crypto'
|
|
|
|
/** Letras y dígitos: el alfabeto por defecto del `get_random_string` de Django. */
|
|
export const ALPHANUMERIC = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
|
|
/** Solo letras, para el token de seguridad (formato `uRlPBR`). */
|
|
export const LETTERS = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
|
|
|
|
/**
|
|
* Código aleatorio de `length` caracteres tomados de `alphabet`.
|
|
*
|
|
* Estos códigos se portaron del Django original como `randomBytes(n).toString('hex')`,
|
|
* que cambiaba el formato sin querer: hex solo usa `0-9a-f`, mientras que el
|
|
* `get_random_string` original daba alfanumérico con mayúsculas y minúsculas.
|
|
*
|
|
* Muestreo por rechazo: 256 no suele ser múltiplo del tamaño del alfabeto, así que
|
|
* `byte % alphabet.length` haría más probables sus primeros caracteres. Descartando
|
|
* los bytes desde el múltiplo más alto que cabe en uno, el reparto queda uniforme.
|
|
*/
|
|
export function randomToken(length: number, alphabet: string = ALPHANUMERIC): string {
|
|
const limit = 256 - (256 % alphabet.length)
|
|
let token = ''
|
|
while (token.length < length) {
|
|
for (const byte of crypto.randomBytes(length)) {
|
|
if (byte >= limit) continue
|
|
token += alphabet[byte % alphabet.length]
|
|
if (token.length === length) break
|
|
}
|
|
}
|
|
return token
|
|
}
|