Files
NightSpire/web-next/lib/session.ts
T
Inna 4e089b5ebb Añadir ruta /security-2falogin (verificación en 2 pasos / TOTP)
Activación de 2FA (TOTP) para el login del juego, guardando el secreto en
acore_auth.account.totp_secret tal como lo lee el bnetserver 3.4.3.

- lib/two-factor.ts: TOTP (HMAC-SHA1, 30s, 6 dígitos, ±1) idéntico al core
  (verificado contra los vectores RFC 6238), Base32, otpauth, y codificado
  del secreto: crudo por defecto o AES-128-GCM (ciphertext‖IV12‖tag12) si se
  define TOTP_MASTER_SECRET (mismo hex que TOTPMasterSecret del servidor).
- Flujo seguro sin bloqueos: el secreto se genera y queda PENDIENTE en la
  sesión; sólo se escribe en la cuenta tras verificar un código válido.
- /api/account/2fa: activar (password + token de seguridad), verificar y
  desactivar (con código actual). QR generado en el servidor (el secreto no
  sale a terceros).
- Página + componente fieles al markup (preview, pasos, copiar clave, ojos).

Verificado E2E: activar -> QR/secreto -> verificar -> totp_secret = 20 bytes
(igual al secreto escaneado) -> desactivar -> NULL.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-07-13 21:37:13 +00:00

30 lines
934 B
TypeScript

import { getIronSession, type SessionOptions } from 'iron-session'
import { cookies } from 'next/headers'
// Sesión cifrada en cookie httpOnly (equivalente a la sesión Django de antes).
export interface SessionData {
bnetId?: number
bnetEmail?: string
username?: string // cuenta de juego elegida (<bnetId>#<index>)
accountId?: number
// Secreto TOTP pendiente de confirmar (hex) durante el alta de 2FA, ligado a
// la cuenta de juego que lo generó. Se guarda sólo hasta verificar el código.
pending2fa?: string
pending2faFor?: number
}
export const sessionOptions: SessionOptions = {
password: process.env.SESSION_SECRET as string,
cookieName: 'novawow_session',
cookieOptions: {
httpOnly: true,
secure: process.env.NODE_ENV === 'production',
sameSite: 'lax',
path: '/',
},
}
export async function getSession() {
return getIronSession<SessionData>(await cookies(), sessionOptions)
}