edf1feedf6
- Token: el asunto era «Token de seguridad - NightSpire» a secas. El original
decía «Token de seguridad de la cuenta {username} - {NOMBRE_SERVIDOR}»; la
reescritura se dejó la cuenta por el camino. Ese correo sale de
`session.bnetEmail`, que ya va normalizado, así que las MAYÚSCULAS son gratis.
- Activación: asunto y cuerpo pasan a normalizar el correo, para que se vea igual
que en el del token. El DESTINATARIO va sin normalizar: es la dirección tal
cual la escribió el usuario.
El correo de activación se manda desde DOS sitios: `registerAccount` y
`recover.ts` (el reenvío del enlace, «no me llegó»). Se cambian los dos o saldría
distinto según por dónde lo pidieras. Lo delató el build: /api/auth/activate
cargaba un chunk y /api/auth/recover otro con la versión vieja.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
81 lines
3.3 KiB
TypeScript
81 lines
3.3 KiB
TypeScript
import type { RowDataPacket } from 'mysql2'
|
|
import { db, DB } from './db'
|
|
import { sendMail } from './mail'
|
|
import { securityTokenEmailHtml } from './emails'
|
|
import { randomToken, LETTERS } from './random-token'
|
|
import type { SessionData } from './session'
|
|
|
|
export interface Result {
|
|
success: boolean
|
|
error?: string
|
|
tokenDate?: string
|
|
}
|
|
|
|
/**
|
|
* 6 letras, sin dígitos (formato `uRlPBR`).
|
|
*
|
|
* Antes era `randomBytes(4).toString('base64url').slice(0, 6)`, portado tal cual
|
|
* del Django original (`secrets.token_urlsafe(4)[:6]`). Tenía dos taras: metía
|
|
* `-` y `_` en un código que se lee y se teclea desde un correo, y sobre todo 4
|
|
* bytes son 32 bits mientras que 6 caracteres base64 codifican 36 → al último
|
|
* carácter solo le llegaban 2 bits reales y SIEMPRE salía `A`, `Q`, `g` o `w`.
|
|
*/
|
|
const TOKEN_LENGTH = 6
|
|
|
|
/** Solicita un token de seguridad (6 letras) por email. 1 cada 7 días. */
|
|
export async function requestSecurityToken(session: SessionData, ip: string): Promise<Result> {
|
|
const userId = session.accountId ?? 0
|
|
const email = session.bnetEmail ?? ''
|
|
if (!email) return { success: false, error: 'noEmail' }
|
|
|
|
const [existing] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT id, created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
if (existing[0]) {
|
|
const days = (Date.now() - new Date(existing[0].created_at).getTime()) / 86400_000
|
|
if (days < 7) return { success: false, error: 'cooldown' }
|
|
}
|
|
|
|
const token = randomToken(TOKEN_LENGTH, LETTERS)
|
|
const expiresAt = new Date(Date.now() + 7 * 86400_000)
|
|
|
|
await db(DB.default).query('DELETE FROM securitytoken WHERE user_id = ?', [userId])
|
|
await db(DB.default).query(
|
|
'INSERT INTO securitytoken (token, created_at, expires_at, ip_address, user_id) VALUES (?, NOW(), ?, ?, ?)',
|
|
[token, expiresAt, ip || '0.0.0.0', userId],
|
|
)
|
|
|
|
// La cuenta es el correo: con Battle.net se entra con él, no con un usuario.
|
|
// Con la cuenta en el asunto, como el original: `email` es `session.bnetEmail`,
|
|
// que va normalizado en MAYÚSCULAS (lo exige el SRP6 de bnet). Mismo patrón que
|
|
// el asunto del correo de activación.
|
|
await sendMail(
|
|
email,
|
|
`Token de seguridad de la cuenta ${email} - NightSpire`,
|
|
securityTokenEmailHtml(email, token, ip || '0.0.0.0'),
|
|
)
|
|
|
|
const [created] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
return { success: true, tokenDate: created[0] ? new Date(created[0].created_at).toISOString() : undefined }
|
|
}
|
|
|
|
/**
|
|
* Comprueba que el token coincide con el de la cuenta y NO ha caducado.
|
|
*
|
|
* La caducidad se evalúa en SQL (`expires_at > NOW()`) a propósito: `expires_at`
|
|
* se inserta como Date de JS y se guarda en la zona horaria del servidor, así que
|
|
* compararlo aquí contra `Date.now()` dependería de que Node y MySQL coincidan.
|
|
* Comparando dentro de MySQL, ambos lados son hora del servidor.
|
|
*/
|
|
export async function checkSecurityToken(userId: number, token: string): Promise<boolean> {
|
|
const [rows] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT token, expires_at > NOW() AS valid FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
return Boolean(rows[0] && rows[0].token === token && rows[0].valid)
|
|
}
|