Fix the authentication mechanism

Fix filter search
2026-05-25 02:24:05 +08:00 · 2025-10-26 01:51:25 +08:00
parent 8513cbce55
commit 3e170ad526
10 changed files with 697 additions and 243 deletions
--- a/controllers/admin/auth.go
+++ b/controllers/admin/auth.go
@@ -4,7 +4,6 @@ import (
 	"encoding/json"
 	"fmt"
 	"net/http"
-	"strconv"
 	"strings"
 	"time"

@@ -19,9 +18,10 @@ import (
 // LoginPageHandler 管理员登录页渲染处理器
 // - 如果已登录则重定向到 /admin
 // - 否则渲染 web/template/admin/login.html 模板
+// - 自动清理失效的JWT Cookie，避免刷新时的问题
 func LoginPageHandler(w http.ResponseWriter, r *http.Request) {
-	// 已登录直接跳转到后台布局
-	if IsAdminAuthenticated(r) {
+	// 使用带清理功能的JWT校验，避免失效Cookie在登录页面造成问题
+	if IsAdminAuthenticatedWithCleanup(w, r) {
 		http.Redirect(w, r, "/admin", http.StatusFound)
 		return
 	}
@@ -118,6 +118,20 @@ func LoginHandler(w http.ResponseWriter, r *http.Request) {
 // - 确保令牌完全失效
 func LogoutHandler(w http.ResponseWriter, r *http.Request) {
 	// 清理JWT Cookie
+	clearInvalidJWTCookie(w)
+
+	// 可选：将JWT令牌加入黑名单（需要Redis或数据库支持）
+	// 这里可以实现JWT黑名单机制
+
+	utils.JsonResponse(w, http.StatusOK, true, "已退出登录", map[string]interface{}{
+		"redirect": "/admin/login",
+	})
+}
+
+// clearInvalidJWTCookie 清理失效的JWT Cookie
+// - 统一的Cookie清理函数，确保一致性
+// - 在JWT校验失败时自动调用，提升安全性和用户体验
+func clearInvalidJWTCookie(w http.ResponseWriter) {
 	cookie := &http.Cookie{
 		Name:     "admin_session",
 		Value:    "",
@@ -128,13 +142,6 @@ func LogoutHandler(w http.ResponseWriter, r *http.Request) {
 		Expires:  time.Unix(0, 0), // 确保过期
 	}
 	http.SetCookie(w, cookie)
-
-	// 可选：将JWT令牌加入黑名单（需要Redis或数据库支持）
-	// 这里可以实现JWT黑名单机制
-
-	utils.JsonResponse(w, http.StatusOK, true, "已退出登录", map[string]interface{}{
-		"redirect": "/admin/login",
-	})
 }

 // JWT密钥（生产环境应从配置文件或环境变量读取）
@@ -142,9 +149,10 @@ var jwtSecret = []byte(viper.GetString("security.jwt_secret"))

 // JWTClaims JWT载荷结构
 type JWTClaims struct {
-	UserID   uint   `json:"user_id"`
-	Username string `json:"username"`
-	Role     int    `json:"role"`
+	UserUUID     string `json:"user_uuid"`
+	Username     string `json:"username"`
+	Role         int    `json:"role"`
+	PasswordHash string `json:"password_hash"` // 密码哈希摘要，用于验证密码是否被修改
 	jwt.RegisteredClaims
 }

@@ -153,16 +161,20 @@ type JWTClaims struct {
 // - 设置24小时过期时间
 // - 使用HMAC-SHA256签名
 func generateJWTToken(user models.User) (string, error) {
+	// 生成密码哈希摘要（使用SHA256）
+	passwordHashDigest := utils.GenerateSHA256Hash(user.Password)
+	
 	claims := JWTClaims{
-		UserID:   user.ID,
-		Username: user.Username,
-		Role:     user.Role,
+		UserUUID:     user.UUID,
+		Username:     user.Username,
+		Role:         user.Role,
+		PasswordHash: passwordHashDigest, // 包含密码哈希摘要
 		RegisteredClaims: jwt.RegisteredClaims{
 			ExpiresAt: jwt.NewNumericDate(time.Now().Add(24 * time.Hour)),
 			IssuedAt:  jwt.NewNumericDate(time.Now()),
 			NotBefore: jwt.NewNumericDate(time.Now()),
 			Issuer:    "凌动技术",
-			Subject:   strconv.Itoa(int(user.ID)),
+			Subject:   user.UUID,
 		},
 	}

@@ -213,8 +225,96 @@ func IsAdminAuthenticated(r *http.Request) bool {
 		return false
 	}

-	// 可选：进一步验证用户是否仍然存在且有效
-	// 这里可以添加数据库查询来验证用户状态
+	// 验证用户是否仍然存在于数据库中
+	db, err := database.GetDB()
+	if err != nil {
+		return false
+	}
+
+	var user models.User
+	if dbErr := db.Where("uuid = ? AND role = 0", claims.UserUUID).First(&user).Error; dbErr != nil {
+		// 记录安全事件：用户不存在但持有有效JWT令牌
+		fmt.Printf("[SECURITY WARNING] Invalid JWT token detected - User not found: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return false
+	}
+
+	// 验证用户名是否匹配（防止用户名被修改后仍使用旧令牌）
+	if user.Username != claims.Username {
+		// 记录安全事件：用户名不匹配
+		fmt.Printf("[SECURITY WARNING] Username mismatch detected - Token username=%s, DB username=%s, UUID=%s, IP=%s\n", 
+			claims.Username, user.Username, claims.UserUUID, r.RemoteAddr)
+		return false
+	}
+
+	// 验证密码哈希是否匹配（防止密码被修改后仍使用旧令牌）
+	currentPasswordHash := utils.GenerateSHA256Hash(user.Password)
+	if claims.PasswordHash != currentPasswordHash {
+		// 记录安全事件：密码哈希不匹配，可能密码已被修改
+		fmt.Printf("[SECURITY WARNING] Password hash mismatch detected - Token may be invalid due to password change: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return false
+	}
+
+	return true
+}
+
+// IsAdminAuthenticatedWithCleanup 带自动清理功能的JWT校验函数
+// - 当JWT校验失败时，自动清理失效的Cookie
+// - 适用于API接口等需要清理失效令牌的场景
+func IsAdminAuthenticatedWithCleanup(w http.ResponseWriter, r *http.Request) bool {
+	cookie, err := r.Cookie("admin_session")
+	if err != nil || cookie.Value == "" {
+		return false
+	}
+
+	// 解析并验证JWT令牌
+	claims, err := parseJWTToken(cookie.Value)
+	if err != nil {
+		// JWT解析失败，清理失效Cookie
+		clearInvalidJWTCookie(w)
+		return false
+	}
+
+	// 验证用户角色（只允许管理员角色=0）
+	if claims.Role != 0 {
+		clearInvalidJWTCookie(w)
+		return false
+	}
+
+	// 验证用户是否仍然存在于数据库中
+	db, err := database.GetDB()
+	if err != nil {
+		return false
+	}
+
+	var user models.User
+	if dbErr := db.Where("uuid = ? AND role = 0", claims.UserUUID).First(&user).Error; dbErr != nil {
+		// 记录安全事件并清理失效Cookie
+		fmt.Printf("[SECURITY WARNING] Invalid JWT token detected - User not found: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		clearInvalidJWTCookie(w)
+		return false
+	}
+
+	// 验证用户名是否匹配（防止用户名被修改后仍使用旧令牌）
+	if user.Username != claims.Username {
+		// 记录安全事件并清理失效Cookie
+		fmt.Printf("[SECURITY WARNING] Username mismatch detected - Token username=%s, DB username=%s, UUID=%s, IP=%s\n", 
+			claims.Username, user.Username, claims.UserUUID, r.RemoteAddr)
+		clearInvalidJWTCookie(w)
+		return false
+	}
+
+	// 验证密码哈希是否匹配（防止密码被修改后仍使用旧令牌）
+	currentPasswordHash := utils.GenerateSHA256Hash(user.Password)
+	if claims.PasswordHash != currentPasswordHash {
+		// 记录安全事件并清理失效Cookie
+		fmt.Printf("[SECURITY WARNING] Password hash mismatch detected - Token may be invalid due to password change: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		clearInvalidJWTCookie(w)
+		return false
+	}

 	return true
 }
@@ -238,6 +338,37 @@ func GetCurrentAdminUser(r *http.Request) (*JWTClaims, error) {
 		return nil, fmt.Errorf("权限不足")
 	}

+	// 验证用户是否仍然存在于数据库中
+	db, err := database.GetDB()
+	if err != nil {
+		return nil, fmt.Errorf("数据库连接失败")
+	}
+
+	var user models.User
+	if dbErr := db.Where("uuid = ? AND role = 0", claims.UserUUID).First(&user).Error; dbErr != nil {
+		// 记录安全事件：用户不存在但持有有效JWT令牌
+		fmt.Printf("[SECURITY WARNING] Invalid JWT token detected in GetCurrentAdminUser - User not found: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return nil, fmt.Errorf("用户不存在或权限已变更")
+	}
+
+	// 验证用户名是否匹配（防止用户名被修改后仍使用旧令牌）
+	if user.Username != claims.Username {
+		// 记录安全事件：用户名不匹配
+		fmt.Printf("[SECURITY WARNING] Username mismatch detected in GetCurrentAdminUser - Token username=%s, DB username=%s, UUID=%s, IP=%s\n", 
+			claims.Username, user.Username, claims.UserUUID, r.RemoteAddr)
+		return nil, fmt.Errorf("用户信息已变更，请重新登录")
+	}
+
+	// 验证密码哈希是否匹配（防止密码被修改后仍使用旧令牌）
+	currentPasswordHash := utils.GenerateSHA256Hash(user.Password)
+	if claims.PasswordHash != currentPasswordHash {
+		// 记录安全事件：密码哈希不匹配，可能密码已被修改
+		fmt.Printf("[SECURITY WARNING] Password hash mismatch detected in GetCurrentAdminUser - Token may be invalid due to password change: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return nil, fmt.Errorf("密码已变更，请重新登录")
+	}
+
 	return claims, nil
 }

@@ -260,13 +391,44 @@ func GetCurrentAdminUserWithRefresh(w http.ResponseWriter, r *http.Request) (*JW
 		return nil, false, fmt.Errorf("权限不足")
 	}

+	// 验证用户是否仍然存在于数据库中
+	db, err := database.GetDB()
+	if err != nil {
+		return nil, false, fmt.Errorf("数据库连接失败")
+	}
+
+	var user models.User
+	if dbErr := db.Where("uuid = ? AND role = 0", claims.UserUUID).First(&user).Error; dbErr != nil {
+		// 记录安全事件：用户不存在但持有有效JWT令牌
+		fmt.Printf("[SECURITY WARNING] Invalid JWT token detected in GetCurrentAdminUserWithRefresh - User not found: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return nil, false, fmt.Errorf("用户不存在或权限已变更")
+	}
+
+	// 验证用户名是否匹配（防止用户名被修改后仍使用旧令牌）
+	if user.Username != claims.Username {
+		// 记录安全事件：用户名不匹配
+		fmt.Printf("[SECURITY WARNING] Username mismatch detected in GetCurrentAdminUserWithRefresh - Token username=%s, DB username=%s, UUID=%s, IP=%s\n", 
+			claims.Username, user.Username, claims.UserUUID, r.RemoteAddr)
+		return nil, false, fmt.Errorf("用户信息已变更，请重新登录")
+	}
+
+	// 验证密码哈希是否匹配（防止密码被修改后仍使用旧令牌）
+	currentPasswordHash := utils.GenerateSHA256Hash(user.Password)
+	if claims.PasswordHash != currentPasswordHash {
+		// 记录安全事件：密码哈希不匹配，可能密码已被修改
+		fmt.Printf("[SECURITY WARNING] Password hash mismatch detected in GetCurrentAdminUserWithRefresh - Token may be invalid due to password change: UUID=%s, Username=%s, IP=%s\n", 
+			claims.UserUUID, claims.Username, r.RemoteAddr)
+		return nil, false, fmt.Errorf("密码已变更，请重新登录")
+	}
+
 	// 检查是否需要刷新令牌（根据配置的阈值）
 	refreshed := false
 	refreshThreshold := time.Duration(viper.GetInt("security.jwt_refresh_threshold_hours")) * time.Hour
 	if time.Until(claims.ExpiresAt.Time) < refreshThreshold {
 		// 生成新的JWT令牌
 		user := models.User{
-			ID:       claims.UserID,
+			UUID:     claims.UserUUID,
 			Username: claims.Username,
 			Role:     claims.Role,
 		}
@@ -301,6 +463,9 @@ func AdminAuthRequired(next http.HandlerFunc) http.HandlerFunc {
 		// 尝试获取用户信息并自动刷新令牌
 		claims, refreshed, err := GetCurrentAdminUserWithRefresh(w, r)
 		if err != nil {
+			// 自动清理失效的JWT Cookie，提升安全性和用户体验
+			clearInvalidJWTCookie(w)
+			
 			// 中文注释：区分普通页面请求与AJAX/JSON请求
 			// - 对 AJAX/JSON：直接返回 401 JSON，便于前端处理（如提示重新登录）
 			// - 对普通页面：保持原有重定向到登录页