cccc70338d
El prefijo venía del nombre de la app Django (`home`), jubilada y borrada hoy, así que ya no significaba nada: home_stripelog -> stripelog. La BD se sigue llamando django_wow por historia (renombrarla es otra operación). Comprobado antes de tocar nada: 0 colisiones con nombres existentes, 0 palabras reservadas (contrastado contra las 260 de MySQL), sin vistas ni triggers que dependieran de ellas. El RENAME va en una sola sentencia porque así es atómico, y MySQL reapunta solo las 4 claves ajenas entre estas tablas. 170 referencias actualizadas en 37 ficheros. Se dejó a propósito sql/drop_home_securitytoken_authuser_fk.sql sin tocar: es una migración ya aplicada y reescribirla sería falsear el historial. De paso salió un fallo previo: prices.ts consultaba `home_restoreitemprice`, una tabla que NO existe. El try/catch de priceFrom se comía el error y devolvía siempre el precio por defecto, así que el precio de restaurar objetos nunca fue configurable. Se deja documentado en el código; crear la tabla es otra decisión. Verificado tras aplicar: 0 tablas home_, las 51 siguen ahí, y el conteo exacto de filas cuadra con el volcado previo (store_item 3068, item_data 44873, stripelog 35, store_order 26, noticia 50). La web responde 200 en todas las rutas y la portada carga las noticias sin errores. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
56 lines
2.2 KiB
TypeScript
56 lines
2.2 KiB
TypeScript
import crypto from 'node:crypto'
|
|
import type { RowDataPacket } from 'mysql2'
|
|
import { db, DB } from './db'
|
|
import { sendMail } from './mail'
|
|
import { securityTokenEmailHtml } from './emails'
|
|
import type { SessionData } from './session'
|
|
|
|
export interface Result {
|
|
success: boolean
|
|
error?: string
|
|
tokenDate?: string
|
|
}
|
|
|
|
/** Solicita un token de seguridad (6 caracteres) por email. 1 cada 7 días. */
|
|
export async function requestSecurityToken(session: SessionData, ip: string): Promise<Result> {
|
|
const userId = session.accountId ?? 0
|
|
const email = session.bnetEmail ?? ''
|
|
if (!email) return { success: false, error: 'noEmail' }
|
|
|
|
const [existing] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT id, created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
if (existing[0]) {
|
|
const days = (Date.now() - new Date(existing[0].created_at).getTime()) / 86400_000
|
|
if (days < 7) return { success: false, error: 'cooldown' }
|
|
}
|
|
|
|
const token = crypto.randomBytes(4).toString('base64url').slice(0, 6)
|
|
const expiresAt = new Date(Date.now() + 7 * 86400_000)
|
|
|
|
await db(DB.default).query('DELETE FROM securitytoken WHERE user_id = ?', [userId])
|
|
await db(DB.default).query(
|
|
'INSERT INTO securitytoken (token, created_at, expires_at, ip_address, user_id) VALUES (?, NOW(), ?, ?, ?)',
|
|
[token, expiresAt, ip || '0.0.0.0', userId],
|
|
)
|
|
|
|
// La cuenta es el correo: con Battle.net se entra con él, no con un usuario.
|
|
await sendMail(email, 'Token de seguridad - Nova WoW', securityTokenEmailHtml(email, token, ip || '0.0.0.0'))
|
|
|
|
const [created] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT created_at FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
return { success: true, tokenDate: created[0] ? new Date(created[0].created_at).toISOString() : undefined }
|
|
}
|
|
|
|
/** Comprueba que el token coincide con el de la cuenta. */
|
|
export async function checkSecurityToken(userId: number, token: string): Promise<boolean> {
|
|
const [rows] = await db(DB.default).query<RowDataPacket[]>(
|
|
'SELECT token FROM securitytoken WHERE user_id = ? ORDER BY created_at DESC LIMIT 1',
|
|
[userId],
|
|
)
|
|
return Boolean(rows[0] && rows[0].token === token)
|
|
}
|