Files
Inna 8c85cf2dbe El enlace de activación vuelve a ser alfanumérico; avisar a qué correo se envió
Dos cosas que el port de Django cambió sin querer:

- El hash de activación se generaba con `randomBytes(16).toString('hex')`: 32
  caracteres, sí, pero solo `0-9a-f`. El original era `get_random_string(32)`,
  alfanumérico con mayúsculas y minúsculas (`?act=P4JHQDJey2jJDnEBnqUePI5O2qEFB1`).
- El aviso de cuenta creada era un genérico «Revisa tu correo», mientras que el
  original decía qué cuenta se creó y a qué dirección fue el enlace. Se recupera
  el formato de dos líneas (con id `create-response`, como el original).

El muestreo por rechazo del token de seguridad se sube a `lib/random-token.ts` y
lo comparten los dos generadores, que solo se diferencian en el alfabeto: letras
para el token que se teclea a mano, alfanumérico para el hash de la URL.

Verificado con 100.000 hashes: todos casan /^[A-Za-z0-9]{32}$/, salen los 62
caracteres y la desviación por carácter se queda en 1,3% (ruido).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-07-15 17:34:53 +00:00

31 lines
1.3 KiB
TypeScript

import crypto from 'node:crypto'
/** Letras y dígitos: el alfabeto por defecto del `get_random_string` de Django. */
export const ALPHANUMERIC = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
/** Solo letras, para el token de seguridad (formato `uRlPBR`). */
export const LETTERS = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
/**
* Código aleatorio de `length` caracteres tomados de `alphabet`.
*
* Estos códigos se portaron del Django original como `randomBytes(n).toString('hex')`,
* que cambiaba el formato sin querer: hex solo usa `0-9a-f`, mientras que el
* `get_random_string` original daba alfanumérico con mayúsculas y minúsculas.
*
* Muestreo por rechazo: 256 no suele ser múltiplo del tamaño del alfabeto, así que
* `byte % alphabet.length` haría más probables sus primeros caracteres. Descartando
* los bytes desde el múltiplo más alto que cabe en uno, el reparto queda uniforme.
*/
export function randomToken(length: number, alphabet: string = ALPHANUMERIC): string {
const limit = 256 - (256 % alphabet.length)
let token = ''
while (token.length < length) {
for (const byte of crypto.randomBytes(length)) {
if (byte >= limit) continue
token += alphabet[byte % alphabet.length]
if (token.length === length) break
}
}
return token
}