portal

liderra/portal

Fork 0

Commit Graph

Author	SHA1	Message	Date
Дмитрий	2225a8487e	feat(security): рабочая «Завершить сессию» — реальный отзыв активных сессий Accessibility (Pa11y live) / a11y (push) Has been cancelled Details SAST — Semgrep / Semgrep SAST scan (push) Has been cancelled Details UI-аудит: вкладка Безопасность показывала фейк-сессии с мёртвой кнопкой. Теперь — реальные активные сессии + рабочий отзыв. - UserSessionTracker (новый): запись сессии при входе (login + 2FA verify + recovery-use) в существующую таблицу user_sessions; отзыв = удаление строки + удаление сессии из Redis по session_id (реальный выход с устройства); logout снимает текущую сессию из списка. Best-effort (не ломает вход/выход). - AccountController: GET /api/account/security отдаёт реальные сессии; DELETE /api/account/sessions/{id} — отзыв (только свои; чужая → 404). - Фронт SessionsTable: список + кнопка «Завершить» (кроме текущей). - phpstan-baseline обновлён (Pest-$this нового теста). Pest: 10/10. Верификация: Playwright (2 сессии → «Завершить» → исчезла). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>	2026-06-21 17:15:26 +03:00
Дмитрий	ec6434ee9a	feat(security): реальная смена пароля + недавние входы вместо mock-заглушек Accessibility (Pa11y live) / a11y (push) Has been cancelled Details SAST — Semgrep / Semgrep SAST scan (push) Has been cancelled Details UI-аудит раунд 2, вкладка «Безопасность» — убраны фейк-данные и мёртвые кнопки. Backend (schema-free, без смены SESSION_DRIVER): - AccountController + ChangePasswordRequest: POST /api/account/change-password — проверка текущего пароля (Hash::check против password_hash), новый >=10 симв + confirmed, лог password_changed/password_change_failed в auth_log (hash-chain). - GET /api/account/security: last_password_change_at (max по password-событиям auth_log) + recent_logins (реальные login_success: устройство/IP/время). - Роуты под auth:sanctum + throttle:auth-password. - Pest: 6 тестов. Регрессия Account+Auth — 23/23 GREEN. phpstan-baseline обновлён (Pest-$this false-positives нового теста, как у прочих тестов). Frontend: - api/account.ts. - ChangePasswordCard: реальная дата + диалог (текущий/новый/подтверждение, show/hide, обработка 422 неверного текущего пароля). - SessionsTable -> «Недавние входы»: реальный список из API, убраны 3 захардкоженных фейк-сессии + мёртвая кнопка «Завершить». NB: индивидуальный отзыв cookie-сессий требует database-драйвера сессий (инфра-решение владельца) — отдельный follow-up. Сейчас входы — честный read-only. Верификация: type-check, build, Playwright (диалог: неверный->ошибка, смена->дата 21.06, восстановление password123; недавние входы — реальные). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>	2026-06-21 15:03:43 +03:00

Author

SHA1

Message

Date

Дмитрий

2225a8487e

feat(security): рабочая «Завершить сессию» — реальный отзыв активных сессий

Accessibility (Pa11y live) / a11y (push) Has been cancelled

Details

SAST — Semgrep / Semgrep SAST scan (push) Has been cancelled

Details

UI-аудит: вкладка Безопасность показывала фейк-сессии с мёртвой кнопкой.
Теперь — реальные активные сессии + рабочий отзыв.

- UserSessionTracker (новый): запись сессии при входе (login + 2FA verify +
  recovery-use) в существующую таблицу user_sessions; отзыв = удаление строки
  + удаление сессии из Redis по session_id (реальный выход с устройства);
  logout снимает текущую сессию из списка. Best-effort (не ломает вход/выход).
- AccountController: GET /api/account/security отдаёт реальные сессии;
  DELETE /api/account/sessions/{id} — отзыв (только свои; чужая → 404).
- Фронт SessionsTable: список + кнопка «Завершить» (кроме текущей).
- phpstan-baseline обновлён (Pest-$this нового теста).

Pest: 10/10. Верификация: Playwright (2 сессии → «Завершить» → исчезла).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

2026-06-21 17:15:26 +03:00

Дмитрий

ec6434ee9a

feat(security): реальная смена пароля + недавние входы вместо mock-заглушек

Accessibility (Pa11y live) / a11y (push) Has been cancelled

Details

SAST — Semgrep / Semgrep SAST scan (push) Has been cancelled

Details

UI-аудит раунд 2, вкладка «Безопасность» — убраны фейк-данные и мёртвые кнопки.

Backend (schema-free, без смены SESSION_DRIVER):
- AccountController + ChangePasswordRequest: POST /api/account/change-password —
  проверка текущего пароля (Hash::check против password_hash), новый >=10 симв +
  confirmed, лог password_changed/password_change_failed в auth_log (hash-chain).
- GET /api/account/security: last_password_change_at (max по password-событиям
  auth_log) + recent_logins (реальные login_success: устройство/IP/время).
- Роуты под auth:sanctum + throttle:auth-password.
- Pest: 6 тестов. Регрессия Account+Auth — 23/23 GREEN. phpstan-baseline обновлён
  (Pest-$this false-positives нового теста, как у прочих тестов).

Frontend:
- api/account.ts.
- ChangePasswordCard: реальная дата + диалог (текущий/новый/подтверждение,
  show/hide, обработка 422 неверного текущего пароля).
- SessionsTable -> «Недавние входы»: реальный список из API, убраны 3
  захардкоженных фейк-сессии + мёртвая кнопка «Завершить».

NB: индивидуальный отзыв cookie-сессий требует database-драйвера сессий
(инфра-решение владельца) — отдельный follow-up. Сейчас входы — честный read-only.

Верификация: type-check, build, Playwright (диалог: неверный->ошибка,
смена->дата 21.06, восстановление password123; недавние входы — реальные).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

2026-06-21 15:03:43 +03:00

2 Commits