Files
NightSpire/web-next/lib/security-token.ts
T
Inna edf1feedf6 El correo sale en MAYÚSCULAS en los correos de token y activación
- Token: el asunto era «Token de seguridad - NightSpire» a secas. El original
  decía «Token de seguridad de la cuenta {username} - {NOMBRE_SERVIDOR}»; la
  reescritura se dejó la cuenta por el camino. Ese correo sale de
  `session.bnetEmail`, que ya va normalizado, así que las MAYÚSCULAS son gratis.
- Activación: asunto y cuerpo pasan a normalizar el correo, para que se vea igual
  que en el del token. El DESTINATARIO va sin normalizar: es la dirección tal
  cual la escribió el usuario.

El correo de activación se manda desde DOS sitios: `registerAccount` y
`recover.ts` (el reenvío del enlace, «no me llegó»). Se cambian los dos o saldría
distinto según por dónde lo pidieras. Lo delató el build: /api/auth/activate
cargaba un chunk y /api/auth/recover otro con la versión vieja.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-07-15 18:40:33 +00:00

81 lines
3.3 KiB
TypeScript

import type { RowDataPacket } from 'mysql2'
import { db, DB } from './db'
import { sendMail } from './mail'
import { securityTokenEmailHtml } from './emails'
import { randomToken, LETTERS } from './random-token'
import type { SessionData } from './session'
export interface Result {
success: boolean
error?: string
tokenDate?: string
}
/**
* 6 letras, sin dígitos (formato `uRlPBR`).
*
* Antes era `randomBytes(4).toString('base64url').slice(0, 6)`, portado tal cual
* del Django original (`secrets.token_urlsafe(4)[:6]`). Tenía dos taras: metía
* `-` y `_` en un código que se lee y se teclea desde un correo, y sobre todo 4
* bytes son 32 bits mientras que 6 caracteres base64 codifican 36 → al último
* carácter solo le llegaban 2 bits reales y SIEMPRE salía `A`, `Q`, `g` o `w`.
*/
const TOKEN_LENGTH = 6
/** Solicita un token de seguridad (6 letras) por email. 1 cada 7 días. */
export async function requestSecurityToken(session: SessionData, ip: string): Promise<Result> {
const userId = session.accountId ?? 0
const email = session.bnetEmail ?? ''
if (!email) return { success: false, error: 'noEmail' }
const [existing] = await db(DB.default).query<RowDataPacket[]>(
'SELECT id, created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
if (existing[0]) {
const days = (Date.now() - new Date(existing[0].created_at).getTime()) / 86400_000
if (days < 7) return { success: false, error: 'cooldown' }
}
const token = randomToken(TOKEN_LENGTH, LETTERS)
const expiresAt = new Date(Date.now() + 7 * 86400_000)
await db(DB.default).query('DELETE FROM securitytoken WHERE user_id = ?', [userId])
await db(DB.default).query(
'INSERT INTO securitytoken (token, created_at, expires_at, ip_address, user_id) VALUES (?, NOW(), ?, ?, ?)',
[token, expiresAt, ip || '0.0.0.0', userId],
)
// La cuenta es el correo: con Battle.net se entra con él, no con un usuario.
// Con la cuenta en el asunto, como el original: `email` es `session.bnetEmail`,
// que va normalizado en MAYÚSCULAS (lo exige el SRP6 de bnet). Mismo patrón que
// el asunto del correo de activación.
await sendMail(
email,
`Token de seguridad de la cuenta ${email} - NightSpire`,
securityTokenEmailHtml(email, token, ip || '0.0.0.0'),
)
const [created] = await db(DB.default).query<RowDataPacket[]>(
'SELECT created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
return { success: true, tokenDate: created[0] ? new Date(created[0].created_at).toISOString() : undefined }
}
/**
* Comprueba que el token coincide con el de la cuenta y NO ha caducado.
*
* La caducidad se evalúa en SQL (`expires_at > NOW()`) a propósito: `expires_at`
* se inserta como Date de JS y se guarda en la zona horaria del servidor, así que
* compararlo aquí contra `Date.now()` dependería de que Node y MySQL coincidan.
* Comparando dentro de MySQL, ambos lados son hora del servidor.
*/
export async function checkSecurityToken(userId: number, token: string): Promise<boolean> {
const [rows] = await db(DB.default).query<RowDataPacket[]>(
'SELECT token, expires_at > NOW() AS valid FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
return Boolean(rows[0] && rows[0].token === token && rows[0].valid)
}