mirror of
https://github.com/skyle1995/NetworkAuth.git
synced 2026-05-25 02:24:05 +08:00
433 lines
14 KiB
Go
433 lines
14 KiB
Go
package admin
|
||
|
||
import (
|
||
"encoding/json"
|
||
"fmt"
|
||
"net/http"
|
||
"strings"
|
||
"time"
|
||
|
||
"networkDev/database"
|
||
"networkDev/models"
|
||
"networkDev/utils"
|
||
|
||
"github.com/golang-jwt/jwt/v5"
|
||
"github.com/spf13/viper"
|
||
)
|
||
|
||
// LoginPageHandler 管理员登录页渲染处理器
|
||
// - 如果已登录则重定向到 /admin
|
||
// - 否则渲染 web/template/admin/login.html 模板
|
||
// - 自动清理失效的JWT Cookie,避免刷新时的问题
|
||
func LoginPageHandler(w http.ResponseWriter, r *http.Request) {
|
||
// 使用带清理功能的JWT校验,避免失效Cookie在登录页面造成问题
|
||
if IsAdminAuthenticatedWithCleanup(w, r) {
|
||
http.Redirect(w, r, "/admin", http.StatusFound)
|
||
return
|
||
}
|
||
|
||
// 获取或生成CSRF令牌
|
||
var token string
|
||
if existingToken := utils.GetCSRFTokenFromCookie(r); existingToken != "" {
|
||
// 重用现有的Cookie令牌
|
||
token = existingToken
|
||
} else {
|
||
// 生成新的CSRF令牌并设置到Cookie
|
||
newToken, err := utils.GenerateCSRFToken()
|
||
if err != nil {
|
||
http.Error(w, "生成CSRF令牌失败", http.StatusInternalServerError)
|
||
return
|
||
}
|
||
token = newToken
|
||
utils.SetCSRFToken(w, token)
|
||
}
|
||
|
||
// 准备模板数据
|
||
extraData := map[string]interface{}{
|
||
"Title": "管理员登录",
|
||
}
|
||
data := utils.GetDefaultTemplateData()
|
||
data["CSRFToken"] = token
|
||
|
||
// 合并额外数据
|
||
for key, value := range extraData {
|
||
data[key] = value
|
||
}
|
||
|
||
utils.RenderTemplate(w, "login.html", data)
|
||
}
|
||
|
||
// LoginHandler 管理员登录接口
|
||
// - 接收JSON: {username, password}
|
||
// - 验证用户存在与密码正确性
|
||
// - 仅允许 Role=0 的管理员登录
|
||
// - 成功后设置简单的会话Cookie(后续可切换为JWT或更完善的Session)
|
||
func LoginHandler(w http.ResponseWriter, r *http.Request) {
|
||
if r.Method != http.MethodPost {
|
||
http.Error(w, "Method Not Allowed", http.StatusMethodNotAllowed)
|
||
return
|
||
}
|
||
|
||
var body struct {
|
||
Username string `json:"username"`
|
||
Password string `json:"password"`
|
||
Captcha string `json:"captcha"`
|
||
}
|
||
if err := json.NewDecoder(r.Body).Decode(&body); err != nil {
|
||
utils.JsonResponse(w, http.StatusBadRequest, false, "请求参数错误", nil)
|
||
return
|
||
}
|
||
if body.Username == "" || body.Password == "" {
|
||
utils.JsonResponse(w, http.StatusBadRequest, false, "用户名和密码不能为空", nil)
|
||
return
|
||
}
|
||
if body.Captcha == "" {
|
||
utils.JsonResponse(w, http.StatusBadRequest, false, "验证码不能为空", nil)
|
||
return
|
||
}
|
||
|
||
// 验证验证码
|
||
if !VerifyCaptcha(r, body.Captcha) {
|
||
utils.JsonResponse(w, http.StatusBadRequest, false, "验证码错误", nil)
|
||
return
|
||
}
|
||
|
||
db, err := database.GetDB()
|
||
if err != nil {
|
||
utils.JsonResponse(w, http.StatusInternalServerError, false, "数据库连接失败", nil)
|
||
return
|
||
}
|
||
|
||
// 通过前缀匹配一次性获取所有管理员相关设置
|
||
var adminSettings []models.Settings
|
||
if err = db.Where("name LIKE ?", "admin_%").Find(&adminSettings).Error; err != nil {
|
||
utils.JsonResponse(w, http.StatusUnauthorized, false, "用户不存在或密码错误", nil)
|
||
return
|
||
}
|
||
|
||
// 将设置转换为map便于查找
|
||
settingsMap := make(map[string]string)
|
||
for _, setting := range adminSettings {
|
||
settingsMap[setting.Name] = setting.Value
|
||
}
|
||
|
||
// 检查必要的设置是否存在
|
||
adminUsername, hasUsername := settingsMap["admin_username"]
|
||
adminPassword, hasPassword := settingsMap["admin_password"]
|
||
adminPasswordSalt, hasSalt := settingsMap["admin_password_salt"]
|
||
|
||
if !hasUsername || !hasPassword || !hasSalt {
|
||
utils.JsonResponse(w, http.StatusUnauthorized, false, "用户不存在或密码错误", nil)
|
||
return
|
||
}
|
||
|
||
// 验证用户名
|
||
if body.Username != adminUsername {
|
||
utils.JsonResponse(w, http.StatusUnauthorized, false, "用户不存在或密码错误", nil)
|
||
return
|
||
}
|
||
|
||
// 验证密码为空的情况(首次登录需要初始化)
|
||
if adminPassword == "" || adminPasswordSalt == "" {
|
||
utils.JsonResponse(w, http.StatusInternalServerError, false, "管理员账号未初始化,请联系系统管理员", nil)
|
||
return
|
||
}
|
||
|
||
// 使用盐值验证密码
|
||
if !utils.VerifyPasswordWithSalt(body.Password, adminPasswordSalt, adminPassword) {
|
||
utils.JsonResponse(w, http.StatusUnauthorized, false, "用户不存在或密码错误", nil)
|
||
return
|
||
}
|
||
|
||
// 创建虚拟用户对象用于生成JWT令牌
|
||
adminUser := models.User{
|
||
Username: adminUsername,
|
||
Password: adminPassword,
|
||
PasswordSalt: adminPasswordSalt,
|
||
}
|
||
|
||
// 生成JWT令牌
|
||
token, err := generateJWTTokenForAdmin(adminUser)
|
||
if err != nil {
|
||
utils.JsonResponse(w, http.StatusInternalServerError, false, "生成令牌失败", nil)
|
||
return
|
||
}
|
||
|
||
// 设置JWT Cookie(使用安全配置)
|
||
cookie := utils.CreateSecureCookie("admin_session", token, utils.GetDefaultCookieMaxAge())
|
||
http.SetCookie(w, cookie)
|
||
|
||
utils.JsonResponse(w, http.StatusOK, true, "登录成功", map[string]interface{}{
|
||
"redirect": "/admin",
|
||
})
|
||
}
|
||
|
||
// LogoutHandler 管理员登出
|
||
// - 清理JWT Cookie会话
|
||
// - 确保令牌完全失效
|
||
func LogoutHandler(w http.ResponseWriter, r *http.Request) {
|
||
// 清理JWT Cookie
|
||
clearInvalidJWTCookie(w)
|
||
|
||
// 可选:将JWT令牌加入黑名单(需要Redis或数据库支持)
|
||
// 这里可以实现JWT黑名单机制
|
||
|
||
utils.JsonResponse(w, http.StatusOK, true, "已退出登录", map[string]interface{}{
|
||
"redirect": "/admin/login",
|
||
})
|
||
}
|
||
|
||
// clearInvalidJWTCookie 清理失效的JWT Cookie
|
||
// - 统一的Cookie清理函数,确保一致性
|
||
// - 在JWT校验失败时自动调用,提升安全性和用户体验
|
||
func clearInvalidJWTCookie(w http.ResponseWriter) {
|
||
cookie := utils.CreateExpiredCookie("admin_session")
|
||
http.SetCookie(w, cookie)
|
||
}
|
||
|
||
// getJWTSecret 动态获取当前的JWT密钥
|
||
// 修复安全漏洞:确保每次都从最新配置中获取密钥,而不是使用启动时的全局变量
|
||
func getJWTSecret() []byte {
|
||
return []byte(viper.GetString("security.jwt_secret"))
|
||
}
|
||
|
||
// JWTClaims JWT载荷结构
|
||
type JWTClaims struct {
|
||
Username string `json:"username"`
|
||
PasswordHash string `json:"password_hash"` // 密码哈希摘要,用于验证密码是否被修改
|
||
jwt.RegisteredClaims
|
||
}
|
||
|
||
// generateJWTTokenForAdmin 生成管理员JWT令牌
|
||
// - 包含管理员UUID、用户名信息
|
||
// - 设置24小时过期时间
|
||
// - 使用HMAC-SHA256签名
|
||
func generateJWTTokenForAdmin(adminUser models.User) (string, error) {
|
||
// 生成密码哈希摘要(使用SHA256)
|
||
passwordHashDigest := utils.GenerateSHA256Hash(adminUser.Password)
|
||
|
||
claims := JWTClaims{
|
||
Username: adminUser.Username,
|
||
PasswordHash: passwordHashDigest, // 包含密码哈希摘要
|
||
RegisteredClaims: jwt.RegisteredClaims{
|
||
ExpiresAt: jwt.NewNumericDate(time.Now().Add(24 * time.Hour)),
|
||
IssuedAt: jwt.NewNumericDate(time.Now()),
|
||
NotBefore: jwt.NewNumericDate(time.Now()),
|
||
Issuer: "凌动技术",
|
||
Subject: adminUser.Username,
|
||
},
|
||
}
|
||
|
||
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
|
||
return token.SignedString(getJWTSecret())
|
||
}
|
||
|
||
// parseJWTToken 解析并验证JWT令牌
|
||
// - 验证签名有效性
|
||
// - 检查过期时间
|
||
// - 返回用户信息
|
||
func parseJWTToken(tokenString string) (*JWTClaims, error) {
|
||
token, err := jwt.ParseWithClaims(tokenString, &JWTClaims{}, func(token *jwt.Token) (interface{}, error) {
|
||
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
|
||
return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
|
||
}
|
||
return getJWTSecret(), nil
|
||
})
|
||
|
||
if err != nil {
|
||
return nil, err
|
||
}
|
||
|
||
if claims, ok := token.Claims.(*JWTClaims); ok && token.Valid {
|
||
return claims, nil
|
||
}
|
||
|
||
return nil, fmt.Errorf("invalid token")
|
||
}
|
||
|
||
// getJWTCookie 获取JWT cookie的通用函数
|
||
func getJWTCookie(r *http.Request) (*http.Cookie, error) {
|
||
return r.Cookie("admin_session")
|
||
}
|
||
|
||
// validateAdminPasswordHash 验证管理员密码哈希的通用函数
|
||
func validateAdminPasswordHash(claims *JWTClaims, r *http.Request) bool {
|
||
// 【安全修复】验证数据库中的当前密码哈希
|
||
// 这确保了密码修改后,旧的JWT令牌会失效
|
||
db, err := database.GetDB()
|
||
if err != nil {
|
||
fmt.Printf("[SECURITY WARNING] Database connection failed during auth - Username=%s, IP=%s\n",
|
||
claims.Username, r.RemoteAddr)
|
||
return false
|
||
}
|
||
|
||
// 获取当前数据库中的管理员密码
|
||
var adminPassword models.Settings
|
||
if err := db.Where("name = ?", "admin_password").First(&adminPassword).Error; err != nil {
|
||
fmt.Printf("[SECURITY WARNING] Admin password not found in database - Username=%s, IP=%s\n",
|
||
claims.Username, r.RemoteAddr)
|
||
return false
|
||
}
|
||
|
||
// 生成当前数据库密码的哈希摘要
|
||
currentPasswordHash := utils.GenerateSHA256Hash(adminPassword.Value)
|
||
|
||
// 验证JWT中的密码哈希是否与当前数据库中的密码哈希一致
|
||
if claims.PasswordHash != currentPasswordHash {
|
||
fmt.Printf("[SECURITY WARNING] Password hash mismatch - JWT token invalidated - Username=%s, IP=%s\n",
|
||
claims.Username, r.RemoteAddr)
|
||
return false
|
||
}
|
||
|
||
return true
|
||
}
|
||
|
||
// IsAdminAuthenticated 判断管理员是否已认证(导出)
|
||
// - 检查admin_session Cookie中的JWT令牌
|
||
// - 验证令牌签名、过期时间和用户角色
|
||
func IsAdminAuthenticated(r *http.Request) bool {
|
||
cookie, err := getJWTCookie(r)
|
||
if err != nil || cookie.Value == "" {
|
||
return false
|
||
}
|
||
|
||
// 解析并验证JWT令牌
|
||
claims, err := parseJWTToken(cookie.Value)
|
||
if err != nil {
|
||
return false
|
||
}
|
||
|
||
// 注释:由于这是管理员专用认证函数,不需要额外的角色验证
|
||
|
||
// 验证密码哈希
|
||
return validateAdminPasswordHash(claims, r)
|
||
}
|
||
|
||
// IsAdminAuthenticatedWithCleanup 带自动清理功能的JWT校验函数
|
||
// - 当JWT校验失败时,自动清理失效的Cookie
|
||
// - 适用于API接口等需要清理失效令牌的场景
|
||
func IsAdminAuthenticatedWithCleanup(w http.ResponseWriter, r *http.Request) bool {
|
||
cookie, err := getJWTCookie(r)
|
||
if err != nil || cookie.Value == "" {
|
||
return false
|
||
}
|
||
|
||
// 解析并验证JWT令牌
|
||
claims, err := parseJWTToken(cookie.Value)
|
||
if err != nil {
|
||
// JWT解析失败,清理失效Cookie
|
||
clearInvalidJWTCookie(w)
|
||
return false
|
||
}
|
||
|
||
// 注释:由于这是管理员专用认证函数,不需要额外的角色验证
|
||
|
||
// 验证密码哈希
|
||
if !validateAdminPasswordHash(claims, r) {
|
||
clearInvalidJWTCookie(w)
|
||
return false
|
||
}
|
||
|
||
return true
|
||
}
|
||
|
||
// GetCurrentAdminUser 获取当前登录的管理员用户信息
|
||
// - 从JWT令牌中提取用户信息
|
||
// - 自动刷新接近过期的令牌(剩余时间少于6小时时刷新)
|
||
// - 返回用户ID、用户名和角色
|
||
func GetCurrentAdminUser(r *http.Request) (*JWTClaims, error) {
|
||
cookie, err := getJWTCookie(r)
|
||
if err != nil {
|
||
return nil, fmt.Errorf("未找到会话信息")
|
||
}
|
||
|
||
claims, err := parseJWTToken(cookie.Value)
|
||
if err != nil {
|
||
return nil, fmt.Errorf("无效的会话信息")
|
||
}
|
||
|
||
// 注释:由于这是管理员专用函数,不需要额外的角色验证
|
||
|
||
return claims, nil
|
||
}
|
||
|
||
// GetCurrentAdminUserWithRefresh 获取当前登录的管理员用户信息并自动刷新令牌
|
||
// - 从JWT令牌中提取用户信息
|
||
// - 自动刷新接近过期的令牌(剩余时间少于6小时时刷新)
|
||
// - 返回用户ID、用户名、角色和是否刷新了令牌
|
||
func GetCurrentAdminUserWithRefresh(w http.ResponseWriter, r *http.Request) (*JWTClaims, bool, error) {
|
||
cookie, err := getJWTCookie(r)
|
||
if err != nil {
|
||
return nil, false, fmt.Errorf("未找到会话信息")
|
||
}
|
||
|
||
claims, err := parseJWTToken(cookie.Value)
|
||
if err != nil {
|
||
return nil, false, fmt.Errorf("无效的会话信息")
|
||
}
|
||
|
||
// 注释:由于这是管理员专用函数,不需要额外的角色验证
|
||
|
||
// 验证密码哈希
|
||
if !validateAdminPasswordHash(claims, r) {
|
||
return nil, false, fmt.Errorf("会话已失效,请重新登录")
|
||
}
|
||
|
||
// 检查是否需要刷新令牌(根据配置的阈值)
|
||
refreshed := false
|
||
refreshThreshold := time.Duration(viper.GetInt("security.jwt_refresh")) * time.Hour
|
||
if time.Until(claims.ExpiresAt.Time) < refreshThreshold {
|
||
// 为管理员生成新的JWT令牌
|
||
adminUser := models.User{
|
||
Username: claims.Username,
|
||
}
|
||
newToken, err := generateJWTTokenForAdmin(adminUser)
|
||
if err == nil {
|
||
// 更新Cookie(使用安全配置)
|
||
newCookie := utils.CreateSecureCookie("admin_session", newToken, utils.GetDefaultCookieMaxAge())
|
||
http.SetCookie(w, newCookie)
|
||
refreshed = true
|
||
|
||
// 更新claims的过期时间
|
||
claims.ExpiresAt = jwt.NewNumericDate(time.Now().Add(24 * time.Hour))
|
||
claims.IssuedAt = jwt.NewNumericDate(time.Now())
|
||
}
|
||
}
|
||
|
||
return claims, refreshed, nil
|
||
}
|
||
|
||
// AdminAuthRequired 管理员认证拦截中间件
|
||
// - 未登录:重定向到 /admin/login
|
||
// - 已登录:自动刷新接近过期的令牌,然后放行到后续处理器
|
||
func AdminAuthRequired(next http.HandlerFunc) http.HandlerFunc {
|
||
return func(w http.ResponseWriter, r *http.Request) {
|
||
// 尝试获取用户信息并自动刷新令牌
|
||
claims, refreshed, err := GetCurrentAdminUserWithRefresh(w, r)
|
||
if err != nil {
|
||
// 自动清理失效的JWT Cookie,提升安全性和用户体验
|
||
clearInvalidJWTCookie(w)
|
||
|
||
// 中文注释:区分普通页面请求与AJAX/JSON请求
|
||
// - 对 AJAX/JSON:直接返回 401 JSON,便于前端处理(如提示重新登录)
|
||
// - 对普通页面:保持原有重定向到登录页
|
||
accept := r.Header.Get("Accept")
|
||
xrw := strings.ToLower(strings.TrimSpace(r.Header.Get("X-Requested-With")))
|
||
if strings.Contains(accept, "application/json") || xrw == "xmlhttprequest" {
|
||
utils.JsonResponse(w, http.StatusUnauthorized, false, "未登录或会话已过期", nil)
|
||
return
|
||
}
|
||
http.Redirect(w, r, "/admin/login", http.StatusFound)
|
||
return
|
||
}
|
||
|
||
// 如果令牌被刷新,可以在这里记录日志(可选)
|
||
if refreshed {
|
||
// 可以添加日志记录令牌刷新事件
|
||
_ = claims // 避免未使用变量警告
|
||
}
|
||
|
||
next(w, r)
|
||
}
|
||
}
|