Security: 2FA-Bypass beheben & Login-Pfade konsolidieren

Befund (Review 16.06.): Der Volt-Login machte direkt Auth::attempt() und umging Fortifys 2FA-Pipeline (2FA-Bypass); zusätzlich existierte der Fortify-POST /login parallel mit schwächeren Post-Login-Regeln. Fix (Volt-nativ): - Volt-Login prüft Credentials ohne sofortiges Login; bei aktivem 2FA wird der Session-Vertrag login.id/login.remember gesetzt und auf eine neue Volt- 2FA-Challenge-Seite (/two-factor-challenge) geleitet, die an Fortifys bestehenden Controller postet (TOTP + Recovery-Code). - Gemeinsame Post-Login-Logik in App\Support\LoginRedirect (rollengerechtes Home + 403-sicherer intended-Redirect), genutzt von Volt-Login UND Response. - RoleAwareLoginResponse implementiert jetzt LoginResponse UND TwoFactorLoginResponse und erzwingt einheitlich: unverifiziert → Notice, verifiziert-inaktiv → Logout+Fehler, sonst 403-sicherer Redirect. Damit ist auch der direkte Fortify-POST-Pfad gehärtet. Tests: 2FA-Übergabe, Challenge-Guard, voller TOTP-Flow, Fortify-POST blockt inaktive User und hält Customer aus dem Admin-Bereich. Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-16 10:00:15 +00:00 · 2026-06-16 10:00:15 +00:00 · f4ca452c6b
commit f4ca452c6b
parent d98d297524
8 changed files with 295 additions and 81 deletions
--- a/routes/auth.php
+++ b/routes/auth.php
@ -55,6 +55,12 @@ Route::group(['middleware' => config('fortify.middleware', ['web'])], function (
    })->middleware(['auth:'.config('fortify.guard'), 'throttle:6,1'])
        ->name('verification.send');

+    // 2FA-Challenge-Seite (Volt-Frontend für Fortifys two-factor-challenge);
+    // der eigentliche POST geht an Fortifys Controller.
+    Volt::route('/two-factor-challenge', 'auth.two-factor-challenge')
+        ->middleware(['guest:'.config('fortify.guard')])
+        ->name('two-factor.challenge');
+
    // Passwort bestätigen mit Livewire
    Volt::route('/confirm-password', 'auth.confirm-password')
        ->middleware(['auth:'.config('fortify.guard')])