Kevin Adametz
d98d297524
- Magic-Link-Versand im Login rate-limited (E-Mail+IP 3/h und IP-only 15/h); verhindert Mail-Fluten und das Entwerten aktiver Links. - Inaktive (aber verifizierte) User werden beim Passwort-Login zentral blockiert (Auth::logout + Fehler) – sichert nur-auth/verified-Routen ab. - Rollensicherer Login-Redirect: gemerkte intended-Admin-URLs schicken einen Customer nicht mehr in den 403, sondern auf das rollengerechte Ziel. - ContactAccess prüft is_active vor jeder Mutation: deaktivierte Bestands- Accounts werden durch eine Anfrage weder verändert noch angemailt. - Magic-Link-Verbrauch atomar (UPDATE … whereNull(consumed_at)) – Single-Use auch bei parallelen Requests. - Sicherheits-Doku um diese Härtungen + Captcha-Empfehlung ergänzt. Tests: Rate-Limit, intended-Admin-URL für Customer, inaktiver Login, ContactAccess ohne Mutation inaktiver Accounts. Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
69 lines
2.4 KiB
PHP
69 lines
2.4 KiB
PHP
<?php
|
|
|
|
namespace App\Http\Controllers\Auth;
|
|
|
|
use App\Http\Controllers\Controller;
|
|
use App\Models\MagicLink;
|
|
use Illuminate\Http\RedirectResponse;
|
|
use Illuminate\Http\Request;
|
|
use Illuminate\Support\Facades\Auth;
|
|
|
|
class MagicLinkConsumeController extends Controller
|
|
{
|
|
public function __invoke(Request $request, string $token): RedirectResponse
|
|
{
|
|
$magicLink = MagicLink::query()
|
|
->with('user')
|
|
->where('token_hash', hash('sha256', $token))
|
|
->where('purpose', 'login')
|
|
->first();
|
|
|
|
if (! $magicLink || ! $magicLink->user) {
|
|
return redirect()->route('login')->with('status', __('The magic login link is invalid.'));
|
|
}
|
|
|
|
if ($magicLink->consumed_at !== null || $magicLink->expires_at->isPast()) {
|
|
return redirect()->route('login')->with('status', __('The magic login link has expired or was already used.'));
|
|
}
|
|
|
|
if (! $magicLink->user->is_active) {
|
|
return redirect()->route('login')->with('status', __('Your account is not active.'));
|
|
}
|
|
|
|
// Atomar beanspruchen: nur EIN paralleler Request darf den Link
|
|
// verbrauchen. Das konditionale UPDATE greift dank Zeilen-Atomarität
|
|
// genau einmal; verliert ein Race, ist consumed_at bereits gesetzt.
|
|
$claimed = MagicLink::query()
|
|
->whereKey($magicLink->id)
|
|
->whereNull('consumed_at')
|
|
->update([
|
|
'consumed_at' => now(),
|
|
'ip_consumed' => $request->ip(),
|
|
]);
|
|
|
|
if ($claimed === 0) {
|
|
return redirect()->route('login')->with('status', __('The magic login link has expired or was already used.'));
|
|
}
|
|
|
|
$magicLink->user->update([
|
|
'last_login_at' => now(),
|
|
'last_login_ip' => $request->ip(),
|
|
]);
|
|
|
|
Auth::guard('web')->login($magicLink->user);
|
|
$request->session()->regenerate();
|
|
|
|
// Rollensicherer Redirect ohne intended(): eine als Gast besuchte
|
|
// Admin-URL (z. B. /dashboard) darf einen Customer nach dem
|
|
// Magic-Link-Login nicht in den 403-Admin-Bereich schicken.
|
|
$user = $magicLink->user;
|
|
|
|
$home = $user->canAccessAdmin()
|
|
? route('dashboard', absolute: false)
|
|
: ($user->canAccessCustomer()
|
|
? route('me.dashboard', absolute: false)
|
|
: '/');
|
|
|
|
return redirect($home);
|
|
}
|
|
}
|