Files
NightSpire/web-next/lib/security-token.ts
T
Inna cccc70338d Quitar el prefijo home_ de las 41 tablas del portal
El prefijo venía del nombre de la app Django (`home`), jubilada y borrada hoy,
así que ya no significaba nada: home_stripelog -> stripelog. La BD se sigue
llamando django_wow por historia (renombrarla es otra operación).

Comprobado antes de tocar nada: 0 colisiones con nombres existentes, 0 palabras
reservadas (contrastado contra las 260 de MySQL), sin vistas ni triggers que
dependieran de ellas. El RENAME va en una sola sentencia porque así es atómico,
y MySQL reapunta solo las 4 claves ajenas entre estas tablas.

170 referencias actualizadas en 37 ficheros. Se dejó a propósito
sql/drop_home_securitytoken_authuser_fk.sql sin tocar: es una migración ya
aplicada y reescribirla sería falsear el historial.

De paso salió un fallo previo: prices.ts consultaba `home_restoreitemprice`,
una tabla que NO existe. El try/catch de priceFrom se comía el error y devolvía
siempre el precio por defecto, así que el precio de restaurar objetos nunca fue
configurable. Se deja documentado en el código; crear la tabla es otra decisión.

Verificado tras aplicar: 0 tablas home_, las 51 siguen ahí, y el conteo exacto
de filas cuadra con el volcado previo (store_item 3068, item_data 44873,
stripelog 35, store_order 26, noticia 50). La web responde 200 en todas las
rutas y la portada carga las noticias sin errores.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-07-15 14:49:19 +00:00

56 lines
2.2 KiB
TypeScript

import crypto from 'node:crypto'
import type { RowDataPacket } from 'mysql2'
import { db, DB } from './db'
import { sendMail } from './mail'
import { securityTokenEmailHtml } from './emails'
import type { SessionData } from './session'
export interface Result {
success: boolean
error?: string
tokenDate?: string
}
/** Solicita un token de seguridad (6 caracteres) por email. 1 cada 7 días. */
export async function requestSecurityToken(session: SessionData, ip: string): Promise<Result> {
const userId = session.accountId ?? 0
const email = session.bnetEmail ?? ''
if (!email) return { success: false, error: 'noEmail' }
const [existing] = await db(DB.default).query<RowDataPacket[]>(
'SELECT id, created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
if (existing[0]) {
const days = (Date.now() - new Date(existing[0].created_at).getTime()) / 86400_000
if (days < 7) return { success: false, error: 'cooldown' }
}
const token = crypto.randomBytes(4).toString('base64url').slice(0, 6)
const expiresAt = new Date(Date.now() + 7 * 86400_000)
await db(DB.default).query('DELETE FROM securitytoken WHERE user_id = ?', [userId])
await db(DB.default).query(
'INSERT INTO securitytoken (token, created_at, expires_at, ip_address, user_id) VALUES (?, NOW(), ?, ?, ?)',
[token, expiresAt, ip || '0.0.0.0', userId],
)
// La cuenta es el correo: con Battle.net se entra con él, no con un usuario.
await sendMail(email, 'Token de seguridad - Nova WoW', securityTokenEmailHtml(email, token, ip || '0.0.0.0'))
const [created] = await db(DB.default).query<RowDataPacket[]>(
'SELECT created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
return { success: true, tokenDate: created[0] ? new Date(created[0].created_at).toISOString() : undefined }
}
/** Comprueba que el token coincide con el de la cuenta. */
export async function checkSecurityToken(userId: number, token: string): Promise<boolean> {
const [rows] = await db(DB.default).query<RowDataPacket[]>(
'SELECT token FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
[userId],
)
return Boolean(rows[0] && rows[0].token === token)
}