Acasă Explorează Ajutor
Înregistrare Autentificare
NetTown
/
nettown_backend
2
0
Bifurcare 0
Fisiere Probleme 0 Trageți solicitările 0 Wiki
Ramură: master
Ramuri Etichete
nettown_backend
/
controllers
/
LoginController.php

LoginController.php 3.0 KB
Permalink Istoric Crud

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091 
  1. <?php
    2. 

  2. 

  3. namespace Controllers;
    4. 

  4. 

  5. use Firebase\JWT\JWT;
    6. 

  6. use Libs\Logger;
    7. 

  7. use Libs\Payload;
    8. 

  8. use Libs\RateLimiter;
    9. 

  9. use Libs\Validator;
    10. 

  10. use Models\UserModel;
    11. 

  11. use Psr\Http\Message\ServerRequestInterface;
    12. 

  12. 

  13. class LoginController
    14. 

  14. {
    15. 

  15.     /** Máximo de tentativas falhas por IP antes do bloqueio temporário. */
    16. 

  16.     private const MAX_ATTEMPTS = 5;
    17. 

  17. 

  18.     /** Duração da janela de bloqueio, em segundos (15 minutos). */
    19. 

  19.     private const WINDOW_SECONDS = 900;
    20. 

  20. 

  21.     public function __invoke(ServerRequestInterface $request)
    22. 

  22.     {
    23. 

  23.         // Anti brute-force: chaveado por IP de origem. Conta apenas tentativas
    24. 

  24.         // falhas; uma autenticação bem-sucedida zera o contador.
    25. 

  25.         $rateKey = 'login:' . $this->clientIp($request);
    26. 

  26. 

  27.         $retryAfter = RateLimiter::retryAfter($rateKey, self::MAX_ATTEMPTS);
    28. 

  28.         if ($retryAfter > 0) {
    29. 

  29.             Logger::warning('Login rate limit exceeded', ['ip' => $this->clientIp($request)]);
    30. 

  30.             return Payload::fail('Too many login attempts. Try again later.', [], 'E_RATE_LIMIT', 429)
    31. 

  31.                 ->withHeader('Retry-After', (string) $retryAfter);
    32. 

  32.         }
    33. 

  33. 

  34.         $body = json_decode((string) $request->getBody(), true) ?: [];
    35. 

  35. 

  36.         $email = $body['email'] ?? $body['user_email'] ?? '';
    37. 

  37.         $password = $body['password'] ?? '';
    38. 

  38. 

  39.         $validator = (new Validator(['email' => $email, 'password' => $password]))
    40. 

  40.             ->required('email')->email('email')->maxLength('email', 255)
    41. 

  41.             ->required('password');
    42. 

  42. 

  43.         if ($validator->fails()) {
    44. 

  44.             return Payload::fail($validator->firstError(), [], 'E_VALIDATE', 400);
    45. 

  45.         }
    46. 

  46. 

  47.         $secret = $_ENV['JWT_SECRET'] ?? '';
    48. 

  48.         if ($secret === '') {
    49. 

  49.             Logger::error('JWT_SECRET is not configured; cannot issue tokens');
    50. 

  50.             return Payload::fail('Internal server error', [], 'E_GENERIC', 500);
    51. 

  51.         }
    52. 

  52. 

  53.         $userModel = new UserModel();
    54. 

  54.         $user = $userModel->validateLogin($email, $password);
    55. 

  55. 

  56.         if (!$user) {
    57. 

  57.             RateLimiter::hit($rateKey, self::WINDOW_SECONDS);
    58. 

  58.             return Payload::fail('Invalid credentials', [], 'E_VALIDATE', 401);
    59. 

  59.         }
    60. 

  60. 

  61.         RateLimiter::clear($rateKey);
    62. 

  62. 

  63.         $payload = [
    64. 

  64.             'sub' => $user['user_id'],
    65. 

  65.             'email' => $user['user_email'],
    66. 

  66.             'company_id' => $user['company_id'],
    67. 

  67.             'role' => $user['user_role'],
    68. 

  68.             'iat' => time(),
    69. 

  69.             'exp' => time() + 3600
    70. 

  70.         ];
    71. 

  71.         $jwt = JWT::encode($payload, $secret, 'HS256');
    72. 

  72. 

  73.         return Payload::ok([
    74. 

  74.             'token' => $jwt,
    75. 

  75.             'user' => $user,
    76. 

  76.         ]);
    77. 

  77.     }
    78. 

  78. 

  79.     /**
    80. 

  80.      * Resolve o IP de origem da requisição. Usa o atributo "remote_addr"
    81. 

  81.      * populado pelo framework-X e cai para REMOTE_ADDR dos server params.
    82. 

  82.      * Não confiamos em X-Forwarded-For (falsificável) para evitar bypass.
    83. 

  83.      */
    84. 

  84.     private function clientIp(ServerRequestInterface $request): string
    85. 

  85.     {
    86. 

  86.         $ip = $request->getAttribute('remote_addr')
    87. 

  87.             ?? ($request->getServerParams()['REMOTE_ADDR'] ?? '');
    88. 

  88. 

  89.         return $ip !== '' ? (string) $ip : 'unknown';
    90. 

  90.     }
    91. 

  91. }
    92.