fix(security): пер-юзер лимиты ИИ + SSE через одноразовый тикет (Спринт1 #5,#6)

#5 rate-limit (byUser) на дорогих LLM-эндпоинтах: /assistant/ask (20/мин), /assistant/flashcards (10/мин), /imggen (20/мин) — поверх cooldown/дневного лимита. Защита от «сжигания» бюджета провайдера одним аккаунтом. #6 SSE больше не таскает JWT в URL: добавлен authed /notifications/stream-ticket (одноразовый тикет, TTL 30с), клиент берёт тикет заголовком и подключается с ?ticket=. ?token= оставлен как временный фоллбэк для старых клиентов. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-12 22:00:23 +03:00
parent 5a57812dab
commit 646e93cf46
5 changed files with 74 additions and 22 deletions
@@ -1,7 +1,28 @@
-const jwt = require('jsonwebtoken');
+const jwt    = require('jsonwebtoken');
+const crypto = require('crypto');
 const db  = require('../db/db');
 const { addClient, removeClient } = require('../sse');

+/* Одноразовые тикеты для SSE: EventSource не умеет слать заголовки, поэтому раньше
+   JWT шёл в ?token= (утекал в логи/Referer). Теперь клиент берёт короткоживущий
+   одноразовый тикет authed-запросом и подключается с ?ticket=. */
+const _tickets = new Map(); // ticket -> { userId, exp }
+const TICKET_TTL = 30_000;
+function _consumeTicket(t) {
+  const e = _tickets.get(t);
+  if (!e) return null;
+  _tickets.delete(t);                 // одноразовый
+  return Date.now() > e.exp ? null : e.userId;
+}
+setInterval(() => { const now = Date.now(); for (const [t, e] of _tickets) if (now > e.exp) _tickets.delete(t); }, 60_000).unref();
+
+/* ── GET /api/notifications/stream-ticket ── (authed) выдаёт тикет для SSE ── */
+function streamTicket(req, res) {
+  const t = crypto.randomBytes(18).toString('base64url');
+  _tickets.set(t, { userId: req.user.id, exp: Date.now() + TICKET_TTL });
+  res.json({ ticket: t });
+}
+
 const _stmts = {
  list:     db.prepare('SELECT id, type, message, link, is_read, created_at FROM notifications WHERE user_id = ? ORDER BY created_at DESC LIMIT 50'),
  markOne:  db.prepare('UPDATE notifications SET is_read = 1 WHERE id = ? AND user_id = ?'),
@@ -30,19 +51,28 @@ function markAllRead(req, res) {

 /* ── GET /api/notifications/stream ── SSE (auth via ?token=JWT) ─────────── */
 function stream(req, res) {
-  const token = req.query.token;
-  if (!token) return res.status(401).end();
-
  let userId;
-  try {
-    const payload = jwt.verify(token, process.env.JWT_SECRET, { algorithms: ['HS256'] });
-    const fresh   = _stmts.getUser.get(payload.id);
+  if (req.query.ticket) {
+    // Предпочтительный путь: одноразовый тикет (токен не светится в URL).
+    userId = _consumeTicket(req.query.ticket);
+    if (!userId) return res.status(401).end();
+    const fresh = _stmts.getUser.get(userId);
    if (!fresh) return res.status(401).end();
    if (fresh.is_banned) return res.status(403).end();
-    if (fresh.token_version != null && payload.tv !== fresh.token_version) return res.status(401).end();
-    userId = payload.id;
-  } catch {
-    return res.status(401).end();
+  } else {
+    // Обратная совместимость: ?token=JWT (помечен на удаление после выката клиента).
+    const token = req.query.token;
+    if (!token) return res.status(401).end();
+    try {
+      const payload = jwt.verify(token, process.env.JWT_SECRET, { algorithms: ['HS256'] });
+      const fresh   = _stmts.getUser.get(payload.id);
+      if (!fresh) return res.status(401).end();
+      if (fresh.is_banned) return res.status(403).end();
+      if (fresh.token_version != null && payload.tv !== fresh.token_version) return res.status(401).end();
+      userId = payload.id;
+    } catch {
+      return res.status(401).end();
+    }
  }

  res.setHeader('Content-Type', 'text/event-stream');
@@ -63,4 +93,4 @@ function stream(req, res) {
  });
 }

-module.exports = { list, markRead, markAllRead, stream };
+module.exports = { list, markRead, markAllRead, stream, streamTicket };
@@ -3,16 +3,21 @@
 * 'pet' навешивается при монтировании в server.js. */
 const router = require('express').Router();
 const { authMiddleware, requireRole } = require('../middleware/auth');
+const rateLimit = require('../middleware/rateLimit');
 const ctrl = require('../controllers/assistantController');

 router.use(authMiddleware);

+// Дорогие LLM-вызовы — пер-юзер лимит (защита от «сжигания» бюджета провайдера).
+const askLimiter = rateLimit({ windowMs: 60_000, max: 20, byUser: true, message: 'Слишком много запросов к ИИ — подожди минутку' });
+const fcLimiter  = rateLimit({ windowMs: 60_000, max: 10, byUser: true, message: 'Слишком часто — подожди минутку' });
+
 router.get('/context',     ctrl.getContext);
 router.post('/seen',       ctrl.markSeen);
 router.post('/dismiss',    ctrl.dismiss);
 router.patch('/settings',  ctrl.setSettings);
-router.post('/ask',        ctrl.ask);
-router.post('/flashcards', ctrl.flashcardsFromText);
+router.post('/ask',        askLimiter, ctrl.ask);
+router.post('/flashcards', fcLimiter,  ctrl.flashcardsFromText);
 router.post('/feedback',   ctrl.feedback);
 router.get('/memory',        ctrl.getMemory);
 router.delete('/memory',     ctrl.clearMemory);
@@ -1,10 +1,14 @@
 'use strict';
 const router = require('express').Router();
 const { authMiddleware } = require('../middleware/auth');
+const rateLimit = require('../middleware/rateLimit');
 const ctrl = require('../controllers/imggenController');

+// Пер-юзер лимит поверх cooldown/дневного лимита в контроллере (защита от абуза).
+const genLimiter = rateLimit({ windowMs: 60_000, max: 20, byUser: true, message: 'Слишком много генераций — подожди минутку' });
+
 router.use(authMiddleware);
 router.get('/status', ctrl.status);
-router.post('/',      ctrl.generate);
+router.post('/',      genLimiter, ctrl.generate);

 module.exports = router;
@@ -6,6 +6,7 @@ const ctrl = require('../controllers/notificationController');
 router.get('/stream',      ctrl.stream);

 router.use(authMiddleware);
+router.get('/stream-ticket', ctrl.streamTicket);
 router.get('/',            ctrl.list);
 router.post('/read-all',   ctrl.markAllRead);
 router.patch('/:id/read',  ctrl.markRead);