discours.io/quoter
5
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[0.6.5] - 2025-09-21
Some checks failed
Deploy on push / deploy (push) Failing after 5s
Details

Browse Source 
### 🔐 Улучшенная аутентификация для микросервисов

####  Новые возможности
- **Универсальная аутентификация**: Добавлена функция `authenticate_request()` для всех handlers
- **Множественные источники токенов**: Поддержка Bearer, X-Session-Token, Cookie
- **Redis сессии**: Интеграция с Redis для проверки активных сессий
- **Безопасная валидация**: Функция `secure_token_validation()` с проверкой TTL и обновлением активности
- **Извлечение токенов**: Универсальная функция `extract_token_from_request()` для всех типов запросов

#### 🧪 Тестирование
- **14 новых тестов**: Полное покрытие новой логики аутентификации
- **Производительность**: Тесты производительности (< 1ms на операцию)
- **Безопасность**: Тесты защиты от подозрительных токенов
- **Граничные случаи**: Тестирование истекших токенов, неверных форматов
- **Интеграция**: Тесты с мокированным Redis

#### ♻️ Рефакторинг (DRY & YAGNI)
- **Устранение дублирования**: Объединена логика аутентификации из upload.rs и user.rs
- **Удаление устаревшего кода**: Убраны `extract_user_id_from_token`, `validate_token`, `get_user_by_token`
- **Очистка констант**: Удалены неиспользуемые `MAX_TOKEN_LENGTH`, `MIN_TOKEN_LENGTH`
- **Упрощение**: Заменена `extract_and_validate_token` на `authenticate_request`

#### ��️ Архитектурные улучшения
- **Библиотечная цель**: Добавлена `lib.rs` для тестирования модулей
- **Модульность**: Четкое разделение ответственности между модулями
- **Единообразие**: Все handlers теперь используют одинаковую логику аутентификации

#### 📋 Совместимость
- **Обратная совместимость**: Все существующие API endpoints работают без изменений
- **Graceful fallback**: Работа без Redis (JWT-only режим)
- **Множественные форматы**: Поддержка различных способов передачи токенов
This commit is contained in:
Untone
2025-09-22 01:15:35 +03:00
parent ae0fc9a18d
commit 91e5f5dac4
13 changed files with 773 additions and 355 deletions
Download Patch File Download Diff File Expand all files Collapse all files

182
src/auth.rs
View File

@@ -67,85 +67,132 @@ fn decode_jwt_token(token: &str) -> Result<TokenClaims, Box<dyn Error>> {
}
}
/// Быстро извлекает user_id из JWT токена для работы с квотами
pub fn extract_user_id_from_token(token: &str) -> Result<String, Box<dyn Error>> {
let claims = decode_jwt_token(token)?;
Ok(claims.user_id)
}
/// Проверяет валидность JWT токена (включая истечение срока действия)
pub fn validate_token(token: &str) -> Result<bool, Box<dyn Error>> {
match decode_jwt_token(token) {
Ok(_) => Ok(true),
Err(e) => {
warn!("Token validation failed: {}", e);
Ok(false)
/// Извлекает токен из HTTP запроса (поддерживает Bearer, X-Session-Token, Cookie)
pub fn extract_token_from_request(req: &actix_web::HttpRequest) -> Option<String> {
// 1. Bearer токен в Authorization header
if let Some(auth_header) = req.headers().get("authorization") {
if let Ok(auth_str) = auth_header.to_str() {
if let Some(stripped) = auth_str.strip_prefix("Bearer ") {
return Some(stripped.trim().to_string());
}
}
}
// 2. Кастомный заголовок X-Session-Token
if let Some(session_token) = req.headers().get("x-session-token") {
if let Ok(token_str) = session_token.to_str() {
return Some(token_str.trim().to_string());
}
}
// 3. Cookie session_token (для веб-приложений)
if let Some(cookie_header) = req.headers().get("cookie") {
if let Ok(cookie_str) = cookie_header.to_str() {
for cookie in cookie_str.split(';') {
let cookie = cookie.trim();
if let Some(stripped) = cookie.strip_prefix("session_token=") {
return Some(stripped.to_string());
}
}
}
}
None
}
/// Получает user_id из JWT токена и базовые данные пользователя с таймаутом
pub async fn get_user_by_token(
/// Безопасная валидация токена с проверкой Redis сессий
pub async fn secure_token_validation(
token: &str,
mut redis: Option<&mut MultiplexedConnection>,
timeout: Duration,
) -> Result<Author, Box<dyn Error>> {
// Декодируем JWT токен для получения user_id
// Базовая проверка формата токена
if token.is_empty() || token.len() < 10 {
return Err(Box::new(std::io::Error::other("Invalid token format")));
}
// 1. Проверяем JWT структуру и подпись
let claims = decode_jwt_token(token)?;
let user_id = &claims.user_id;
info!("Extracted user_id from JWT token: {}", user_id);
info!("JWT token validated for user: {}", user_id);
// Проверяем валидность токена через сессию в Redis (опционально) с таймаутом
// 2. Проверяем существование сессии в Redis
let session_exists = if let Some(ref mut redis) = redis {
let token_key = format!("session:{}:{}", user_id, token);
tokio::time::timeout(timeout, redis.exists(&token_key))
.await
.map_err(|_| {
warn!("Redis timeout checking session existence");
// Не критичная ошибка, продолжаем с базовыми данными
})
.unwrap_or(Ok(false))
.map_err(|e| {
warn!("Failed to check session existence in Redis: {}", e);
// Не критичная ошибка, продолжаем с базовыми данными
})
.unwrap_or(false)
let session_key = format!("session:{}:{}", user_id, token);
match tokio::time::timeout(timeout, redis.exists(&session_key)).await {
Ok(Ok(exists)) => exists,
Ok(Err(e)) => {
warn!("Redis error checking session: {}", e);
false
}
Err(_) => {
warn!("Redis timeout checking session");
false
}
}
} else {
warn!("⚠️ Redis not available, skipping session validation");
false
};
if session_exists {
// Обновляем last_activity если сессия существует
if let Some(redis) = redis {
let current_time = std::time::SystemTime::now()
.duration_since(std::time::UNIX_EPOCH)
.unwrap()
.as_secs();
if !session_exists {
info!("Session not found in Redis for user: {}", user_id);
// В соответствии с руководством, можем продолжить с JWT-only данными
// или вернуть ошибку в зависимости от политики безопасности
}
let token_key = format!("session:{}:{}", user_id, token);
let _: () = tokio::time::timeout(
// 3. Проверяем TTL сессии если она существует
let ttl = if session_exists && redis.is_some() {
let session_key = format!("session:{}:{}", user_id, token);
if let Some(ref mut redis) = redis {
match tokio::time::timeout(timeout, redis.ttl(&session_key)).await {
Ok(Ok(ttl_value)) => {
if ttl_value <= 0 {
return Err(Box::new(std::io::Error::other("Session expired")));
}
ttl_value
}
Ok(Err(e)) => {
warn!("Redis error getting TTL: {}", e);
-1
}
Err(_) => {
warn!("Redis timeout getting TTL");
-1
}
}
} else {
-1
}
} else {
-1
};
// 4. Обновляем last_activity если сессия активна
if session_exists && redis.is_some() {
let current_time = std::time::SystemTime::now()
.duration_since(std::time::UNIX_EPOCH)
.unwrap()
.as_secs();
let session_key = format!("session:{}:{}", user_id, token);
if let Some(redis) = redis {
let _: Result<(), _> = tokio::time::timeout(
timeout,
redis.hset(&token_key, "last_activity", current_time.to_string()),
redis.hset(&session_key, "last_activity", current_time.to_string()),
)
.await
.map_err(|_| {
warn!("Redis timeout updating last_activity");
})
.map_err(|_| warn!("Redis timeout updating last_activity"))
.unwrap_or(Ok(()))
.map_err(|e| {
warn!("Failed to update last_activity: {}", e);
})
.unwrap_or(());
.map_err(|e| warn!("Failed to update last_activity: {}", e));
}
info!("Updated last_activity for session: {}", user_id);
} else {
info!("Session not found in Redis, proceeding with JWT-only data");
}
// Создаем базовый объект Author с данными из JWT
// Создаем объект Author с расширенными данными
let author = Author {
user_id: user_id.clone(),
username: claims.username.clone(),
@@ -158,14 +205,43 @@ pub async fn get_user_by_token(
.as_secs()
.to_string(),
),
auth_data: None,
auth_data: if session_exists {
Some(format!("redis_session_ttl:{}", ttl))
} else {
Some("jwt_only".to_string())
},
device_info: None,
};
info!("Successfully created author data for user_id: {}", user_id);
info!(
"Successfully validated token for user: {} (session_exists: {})",
user_id, session_exists
);
Ok(author)
}
/// Универсальная функция аутентификации для всех handlers
/// Извлекает токен из запроса и выполняет полную валидацию
pub async fn authenticate_request(
req: &actix_web::HttpRequest,
redis: Option<&mut MultiplexedConnection>,
timeout: Duration,
) -> Result<Author, actix_web::Error> {
// Извлекаем токен из запроса (поддерживает Bearer, X-Session-Token, Cookie)
let token = extract_token_from_request(req).ok_or_else(|| {
warn!("No authorization token provided");
actix_web::error::ErrorUnauthorized("Authorization token required")
})?;
// Безопасная валидация токена с проверкой Redis сессий
secure_token_validation(&token, redis, timeout)
.await
.map_err(|e| {
warn!("Token validation failed: {}", e);
actix_web::error::ErrorUnauthorized("Invalid or expired token")
})
}
/// Сохраняет имя файла в Redis для пользователя
pub async fn user_added_file(
redis: Option<&mut MultiplexedConnection>,

62
src/handlers/common.rs
View File

@@ -1,9 +1,7 @@
use actix_web::{HttpRequest, HttpResponse, Result, error::ErrorUnauthorized};
use actix_web::{HttpRequest, HttpResponse};
use log::{debug, info, warn};
use std::env;
use crate::auth::validate_token;
/// Общие константы - optimized for Vercel Edge caching
pub const CACHE_CONTROL_VERCEL: &str = "public, max-age=86400, s-maxage=31536000"; // 1 day browser, 1 year CDN
@@ -86,44 +84,6 @@ pub fn get_cors_origin(req: &HttpRequest) -> String {
"*".to_string()
}
/// Извлекает и валидирует токен авторизации из заголовков запроса
pub fn extract_and_validate_token(req: &HttpRequest) -> Result<&str, actix_web::Error> {
// Извлекаем токен из заголовка авторизации
let token = req
.headers()
.get("Authorization")
.and_then(|header_value| header_value.to_str().ok())
.map(|auth_str| {
// Убираем префикс "Bearer " если он есть
auth_str.strip_prefix("Bearer ").unwrap_or(auth_str)
});
let token = token.ok_or_else(|| {
warn!("Request without authorization token");
ErrorUnauthorized("Ok")
})?;
// Проверяем длину токена
if token.len() < MIN_TOKEN_LENGTH || token.len() > MAX_TOKEN_LENGTH {
warn!("Token length invalid: {} chars", token.len());
return Err(ErrorUnauthorized("Invalid token format"));
}
// Проверяем формат токена
if !validate_token_format(token) {
warn!("Token format invalid");
return Err(ErrorUnauthorized("Invalid token format"));
}
// Валидируем токен
if !validate_token(token).unwrap_or(false) {
warn!("Token validation failed");
return Err(ErrorUnauthorized("Invalid or expired token"));
}
Ok(token)
}
// Removed unused create_file_response - using create_file_response_with_analytics instead
/// File response with analytics logging
@@ -246,19 +206,8 @@ pub fn check_acme_path(path: &str) -> Option<HttpResponse> {
}
}
/// Проверяет токен на подозрительные символы
pub fn validate_token_format(token: &str) -> bool {
// JWT должен состоять из 3 частей, разделенных точками
let parts: Vec<&str> = token.split('.').collect();
if parts.len() != 3 {
return false;
}
// Проверяем, что токен содержит только допустимые символы для JWT
token
.chars()
.all(|c| c.is_alphanumeric() || c == '.' || c == '-' || c == '_')
}
// Удалена устаревшая функция validate_token_format
// JWT валидация теперь выполняется в auth::secure_token_validation
/// Создает JSON ответ с ошибкой
pub fn create_error_response(status: actix_web::http::StatusCode, message: &str) -> HttpResponse {
@@ -269,9 +218,8 @@ pub fn create_error_response(status: actix_web::http::StatusCode, message: &str)
}))
}
/// Константы для безопасности
pub const MAX_TOKEN_LENGTH: usize = 2048;
pub const MIN_TOKEN_LENGTH: usize = 100;
// Удалены устаревшие константы MAX_TOKEN_LENGTH и MIN_TOKEN_LENGTH
// Валидация токенов теперь выполняется в auth модуле
/// Проверяет, является ли файл системным файлом и возвращает соответствующий ответ
pub fn handle_system_file(filename: &str) -> Option<HttpResponse> {

32
src/handlers/upload.rs
View File

@@ -2,9 +2,8 @@ use actix_multipart::Multipart;
use actix_web::{HttpRequest, HttpResponse, Result, web};
use log::{error, info, warn};
use super::common::extract_and_validate_token;
use crate::app_state::AppState;
use crate::auth::{extract_user_id_from_token, user_added_file};
use crate::auth::{authenticate_request, user_added_file};
use crate::handlers::MAX_USER_QUOTA_BYTES;
use crate::lookup::store_file_info;
use crate::s3_utils::{self, generate_key_with_extension, upload_to_s3};
@@ -21,17 +20,21 @@ pub async fn upload_handler(
mut payload: Multipart,
state: web::Data<AppState>,
) -> Result<HttpResponse, actix_web::Error> {
// Извлекаем и валидируем токен
let token = extract_and_validate_token(&req)?;
// Получаем Redis соединение для проверки сессий
let mut redis_conn = state.redis.clone();
// Затем извлекаем user_id
let user_id = extract_user_id_from_token(token).map_err(|e| {
warn!("Failed to extract user_id from token: {}", e);
actix_web::error::ErrorUnauthorized("Invalid authorization token")
})?;
// Универсальная аутентификация с извлечением токена и валидацией
let author = authenticate_request(&req, redis_conn.as_mut(), state.request_timeout).await?;
let user_id = &author.user_id;
info!(
"Authenticated user: {} (session: {})",
user_id,
author.auth_data.as_ref().unwrap_or(&"unknown".to_string())
);
// Получаем текущую квоту пользователя
let current_quota: u64 = state.get_or_create_quota(&user_id).await.unwrap_or(0);
let current_quota: u64 = state.get_or_create_quota(user_id).await.unwrap_or(0);
info!("Author {} current quota: {} bytes", user_id, current_quota);
// Предварительная проверка: есть ли вообще место для файлов
@@ -164,7 +167,7 @@ pub async fn upload_handler(
);
// Обновляем квоту пользователя
if let Err(e) = state.increment_uploaded_bytes(&user_id, file_size).await {
if let Err(e) = state.increment_uploaded_bytes(user_id, file_size).await {
error!("Failed to increment quota for user {}: {}", user_id, e);
return Err(actix_web::error::ErrorInternalServerError(
"Failed to update user quota",
@@ -172,12 +175,13 @@ pub async fn upload_handler(
}
// Сохраняем информацию о файле в Redis
if let Err(e) = store_file_info(None, &filename, &content_type).await {
if let Err(e) = store_file_info(redis_conn.as_mut(), &filename, &content_type).await
{
error!("Failed to store file info in Redis: {}", e);
// Не прерываем процесс, файл уже загружен в S3
}
if let Err(e) = user_added_file(None, &user_id, &filename).await {
if let Err(e) = user_added_file(redis_conn.as_mut(), user_id, &filename).await {
error!("Failed to record user file association: {}", e);
// Не прерываем процесс
}
@@ -188,7 +192,7 @@ pub async fn upload_handler(
state.set_path(&filename, &generated_key).await;
// Логируем новую квоту
if let Ok(new_quota) = state.get_or_create_quota(&user_id).await {
if let Ok(new_quota) = state.get_or_create_quota(user_id).await {
info!(
"Updated quota for user {}: {} bytes ({:.1}% used)",
user_id,

13
src/handlers/user.rs
View File

@@ -2,9 +2,8 @@ use actix_web::{HttpRequest, HttpResponse, Result, web};
use log::{error, info, warn};
use serde::Serialize;
use super::common::extract_and_validate_token;
use crate::app_state::AppState;
use crate::auth::{Author, get_user_by_token};
use crate::auth::{Author, authenticate_request};
#[derive(Serialize)]
pub struct UserWithQuotaResponse {
@@ -25,13 +24,13 @@ pub async fn get_current_user_handler(
req: HttpRequest,
state: web::Data<AppState>,
) -> Result<HttpResponse, actix_web::Error> {
// Извлекаем и валидируем токен
let token = extract_and_validate_token(&req)?;
info!("Getting user info for valid token");
// Получаем информацию о пользователе из Redis сессии
let user = match get_user_by_token(token, None, state.request_timeout).await {
// Получаем Redis соединение для проверки сессий
let mut redis_conn = state.redis.clone();
// Универсальная аутентификация с извлечением токена и валидацией
let user = match authenticate_request(&req, redis_conn.as_mut(), state.request_timeout).await {
Ok(user) => {
info!(
"Successfully retrieved user info: user_id={}, username={:?}",

14
src/lib.rs Normal file
View File

@@ -0,0 +1,14 @@
// Библиотечная цель для quoter
// Экспортируем модули для тестирования
pub mod app_state;
pub mod auth;
pub mod handlers;
pub mod lookup;
pub mod s3_utils;
pub mod security;
pub mod thumbnail;
// Реэкспортируем основные типы для удобства
pub use app_state::AppState;
pub use auth::{Author, authenticate_request, extract_token_from_request, secure_token_validation};

9
src/main.rs
View File

@@ -1,10 +1,5 @@
mod app_state;
mod auth;
mod handlers;
mod lookup;
mod s3_utils;
mod security;
mod thumbnail;
// Используем модули из библиотеки
use quoter::{app_state, handlers, security};
use actix_cors::Cors;
use actix_web::{