Security-Härtung Login & Magic-Link (Review 16.06.)

- Magic-Link-Versand im Login rate-limited (E-Mail+IP 3/h und IP-only 15/h); verhindert Mail-Fluten und das Entwerten aktiver Links. - Inaktive (aber verifizierte) User werden beim Passwort-Login zentral blockiert (Auth::logout + Fehler) – sichert nur-auth/verified-Routen ab. - Rollensicherer Login-Redirect: gemerkte intended-Admin-URLs schicken einen Customer nicht mehr in den 403, sondern auf das rollengerechte Ziel. - ContactAccess prüft is_active vor jeder Mutation: deaktivierte Bestands- Accounts werden durch eine Anfrage weder verändert noch angemailt. - Magic-Link-Verbrauch atomar (UPDATE … whereNull(consumed_at)) – Single-Use auch bei parallelen Requests. - Sicherheits-Doku um diese Härtungen + Captcha-Empfehlung ergänzt. Tests: Rate-Limit, intended-Admin-URL für Customer, inaktiver Login, ContactAccess ohne Mutation inaktiver Accounts. Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-16 09:33:44 +00:00 · 2026-06-16 09:33:44 +00:00 · d98d297524
commit d98d297524
parent 84f7eb3aab
7 changed files with 201 additions and 16 deletions
--- a/app/Http/Controllers/Auth/MagicLinkConsumeController.php
+++ b/app/Http/Controllers/Auth/MagicLinkConsumeController.php
@ -30,10 +30,20 @@ class MagicLinkConsumeController extends Controller
            return redirect()->route('login')->with('status', __('Your account is not active.'));
        }

-        $magicLink->update([
-            'consumed_at' => now(),
-            'ip_consumed' => $request->ip(),
-        ]);
+        // Atomar beanspruchen: nur EIN paralleler Request darf den Link
+        // verbrauchen. Das konditionale UPDATE greift dank Zeilen-Atomarität
+        // genau einmal; verliert ein Race, ist consumed_at bereits gesetzt.
+        $claimed = MagicLink::query()
+            ->whereKey($magicLink->id)
+            ->whereNull('consumed_at')
+            ->update([
+                'consumed_at' => now(),
+                'ip_consumed' => $request->ip(),
+            ]);
+
+        if ($claimed === 0) {
+            return redirect()->route('login')->with('status', __('The magic login link has expired or was already used.'));
+        }

        $magicLink->user->update([
            'last_login_at' => now(),