0302-добавил куки и сломал десктоп авторизацию.

сложно поддерживать однояйцевых близнецов - desktop и TMA, подготовил к рефакторингу структуры
2026-02-04 19:02:33 -06:00 · 2026-02-03 09:32:02 +03:00
parent 88620f3fb6
commit ea1e5bbf6a
14 changed files with 547 additions and 86 deletions
--- a/internal/transport/http/middleware/auth.go
+++ b/internal/transport/http/middleware/auth.go
@@ -26,27 +26,28 @@ type Claims struct {
 }

 // AuthMiddleware проверяет JWT токен (Desktop) или initData от Telegram
-func AuthMiddleware(accountRepo account.Repository, botToken string, secretKey string, maintenanceMode bool, devIDs []int64) gin.HandlerFunc {
+func AuthMiddleware(accountRepo account.Repository, authService interface {
+	ValidateAndExtendSession(token string) (*account.User, error)
+}, botToken string, secretKey string, maintenanceMode bool, devIDs []int64) gin.HandlerFunc {
 	return func(c *gin.Context) {
-		// 1. Извлекаем данные авторизации
-		authHeader := c.GetHeader("Authorization")
-		var authData string
+		// 1. Пробуем извлечь токен из Authorization header
+		tokenString := extractToken(c)

-		if strings.HasPrefix(authHeader, "Bearer ") {
-			authData = strings.TrimPrefix(authHeader, "Bearer ")
-		} else {
-			// Оставляем лазейку для отладки ТОЛЬКО если это не production режим
-			// В реальности лучше всегда требовать подпись
-			authData = c.Query("_auth")
+		// 2. Если нет токена в header, проверяем куку rmser_session
+		if tokenString == "" {
+			cookie, err := c.Cookie("rmser_session")
+			if err == nil && cookie != "" {
+				tokenString = cookie
+			}
 		}

-		if authData == "" {
+		if tokenString == "" {
 			c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "Авторизация отклонена: отсутствует токен или подпись"})
 			return
 		}

-		// 2. Попытка 1: Проверяем JWT токен (Desktop)
-		token, err := jwt.ParseWithClaims(authData, &Claims{}, func(token *jwt.Token) (interface{}, error) {
+		// 3. Попытка 1: Проверяем JWT токен (Desktop)
+		token, err := jwt.ParseWithClaims(tokenString, &Claims{}, func(token *jwt.Token) (interface{}, error) {
 			if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
 				return nil, fmt.Errorf("неожиданный метод подписи: %v", token.Header["alg"])
 			}
@@ -78,15 +79,42 @@ func AuthMiddleware(accountRepo account.Repository, botToken string, secretKey s
 			}
 		}

-		// 3. Попытка 2: Проверяем Telegram InitData
-		isValid, err := verifyTelegramInitData(authData, botToken)
+		// 4. Попытка 2: Проверяем сессию через authService (HttpOnly Cookie)
+		// Важно: проверяем длину, чтобы не слать initData (длинную строку) в БД как токен сессии
+		if authService != nil && len(tokenString) <= 128 {
+			user, err := authService.ValidateAndExtendSession(tokenString)
+			if err == nil && user != nil {
+				// Сессия валидна и продлена
+				if maintenanceMode {
+					isDev := false
+					for _, devID := range devIDs {
+						if user.TelegramID == devID {
+							isDev = true
+							break
+						}
+					}
+					if !isDev {
+						c.AbortWithStatusJSON(503, gin.H{"error": "maintenance_mode", "message": "Сервис на обслуживании"})
+						return
+					}
+				}
+
+				c.Set("userID", user.ID)
+				c.Set("telegramID", user.TelegramID)
+				c.Next()
+				return
+			}
+		}
+
+		// 5. Попытка 3: Проверяем Telegram InitData
+		isValid, err := verifyTelegramInitData(tokenString, botToken)
 		if !isValid || err != nil {
 			c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "Критическая ошибка безопасности: недействительный токен или подпись"})
 			return
 		}

 		// Извлекаем User ID из проверенных данных
-		values, _ := url.ParseQuery(authData)
+		values, _ := url.ParseQuery(tokenString)
 		userJSON := values.Get("user")

 		// Извлекаем id вручную из JSON-подобной строки или через простой парсинг
@@ -125,6 +153,16 @@ func AuthMiddleware(accountRepo account.Repository, botToken string, secretKey s
 	}
 }

+// extractToken извлекает токен из Authorization header
+func extractToken(c *gin.Context) string {
+	authHeader := c.GetHeader("Authorization")
+	if strings.HasPrefix(authHeader, "Bearer ") {
+		return strings.TrimPrefix(authHeader, "Bearer ")
+	}
+	// Оставляем лазейку для отладки ТОЛЬКО если это не production режим
+	return c.Query("_auth")
+}
+
 // verifyTelegramInitData реализует алгоритм проверки Telegram
 func verifyTelegramInitData(initData, token string) (bool, error) {
 	values, err := url.ParseQuery(initData)