Security add #18
Security add #18
Conversation
| @@ -0,0 +1,55 @@ | |||
| package models | |||
| } | ||
|
|
||
| sID := session.Value | ||
| csrfToken := r.FormValue("X-Csrf-Token") |
There was a problem hiding this comment.
Надо из хедера брать, у вас формы не используются в запросах
| if r.Method == http.MethodGet { | ||
| err := SetSCRFToken(w, r) | ||
| if err != nil { | ||
| logger.Debug(ctx, fmt.Sprintf("csrf token creation error: %v", err)) |
There was a problem hiding this comment.
надо на запрос ответить, не просто завершать функцию
| if found { | ||
| err := CheckSCRFToken(r) | ||
| if err != nil { | ||
| logger.Debug(ctx, fmt.Sprintf("csrf token creation error: %v", err)) |
There was a problem hiding this comment.
Тут тоже, нужно на запрос ответить
| return func(next http.Handler) http.Handler { | ||
| return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { | ||
| ctx := r.Context() | ||
| httpMethods := []string{http.MethodPost, http.MethodPut, http.MethodDelete, http.MethodPatch} |
There was a problem hiding this comment.
проще проверить, что не GET и не HEAD, нет?
internal/usecase/auth.go
Outdated
| @@ -62,10 +82,20 @@ func (u *AuthUsecase) Signup(ctx context.Context, login string, password string) | |||
| return "", "", models.NewValidationError("invalid password input", | |||
| "Пароль должен содержать от 8 до 32 букв английского алфавита или цифр") | |||
| } | |||
|
|
|||
| salt := make([]byte, _countBytes) | |||
There was a problem hiding this comment.
мне кажется или соль при логине и при регистрации отличаются, если так, то это не будет работать
There was a problem hiding this comment.
сделай 1 функцию, которая хеширует пароль. при регистрации просто пришедший пароль хешируешь и дальше по цепочке передаешь. а при логине используешь эту же функцию для пришедшего пароля
There was a problem hiding this comment.
Почему не будет работать? Сначала в signup рандомно генерим соль, после чего хешируем и клеим соль+хеш
А в login вытаскиваем из пароля соль, хешируем пришедший пароль, клеим соль + хеш от пришедшего пароля и сравниваем полученное значение со значением из базы
Вроде все корректно работать должно
There was a problem hiding this comment.
ERROR: invalid byte sequence for encoding "UTF8": 0x83 (SQLSTATE 22021)
На кодер из лекции ругается, я перепробовал кучу способов исправить, но там рандомно ставится соль => формируется эта ошибка при SQL запросе, хотя руками вносится нормально
internal/usecase/auth_test.go
Outdated
| ) | ||
|
|
||
| func PasswordArgon2(plainPassword []byte, salt []byte) []byte { |
There was a problem hiding this comment.
почему в тестах эта функция дублируется
Hash passwords and CSRFTokens add