npm - nodebb-plugin-anti-account-sharing - Versions diffs - 1.0.5 → 1.0.6 - Mend

nodebb-plugin-anti-account-sharing 1.0.5 → 1.0.6

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (3) hide show

package/library.js CHANGED Viewed

@@ -8,23 +8,10 @@ const PLUGIN_ID = 'nodebb-plugin-anti-account-sharing';
 const DEFAULTS = {
   enabled: true,
-  // Fingerprint değişince ne yapalım?
-  // "kick" => diğer oturumları kır
-  // "block" => isteği 403 ile engelle (giriş yapanı bile)
   enforcement: 'kick',
-  // Aynı kullanıcı için fingerprint değişimini kaç saniye "şüpheli" sayalım?
-  // Örn: 300 => son 5 dakikada farklı fingerprint görürse tetikle
   windowSeconds: 300,
-  // Log seviyesi: "debug" | "info" | "warn" | "error"
   logLevel: 'info',
-  // Fingerprint: ip + user-agent (+ accept-language opsiyonel)
   includeAcceptLanguage: false,
-  // Reverse-proxy arkasında doğru ip için
   trustProxy: true,
 };
@@ -40,8 +27,6 @@ function toInt(v, dflt) {
 }
 async function getSettings() {
-  // ACP -> Settings -> Anti Account Sharing (meta settings) varsa buradan okur
-  // Yoksa defaults kullanır.
   let s = {};
   try {
     s = await meta.settings.get(PLUGIN_ID);
@@ -70,7 +55,6 @@ function sha1(input) {
 }
 function getClientIp(req, trustProxy) {
-  // NodeBB/Express: trust proxy açık değilse x-forwarded-for güvenilmez olur.
   if (trustProxy) {
     const xff = (req.headers['x-forwarded-for'] || '').toString();
     if (xff) return xff.split(',')[0].trim();
@@ -91,17 +75,18 @@ function getFingerprint(req, settings) {
   return sha1(raw);
 }
+function safeJson(x) {
+  try { return JSON.stringify(x); } catch (e) { return '[unjsonable]'; }
+}
 function buildLogger(settings) {
-  // winston ile NodeBB loglarına düşer, ayrıca console’a da basar.
   const level = settings?.logLevel || 'info';
   function log(lvl, msg, metaObj) {
     const line = `[AAS] ${msg}${metaObj ? ` ${safeJson(metaObj)}` : ''}`;
-    // NodeBB winston
     if (winston && typeof winston[lvl] === 'function') winston[lvl](line);
     else if (winston && typeof winston.info === 'function') winston.info(line);
-    // console fallback (docker logs)
     if (lvl === 'error') console.error(line);
     else if (lvl === 'warn') console.warn(line);
     else console.log(line);
@@ -115,11 +100,14 @@ function buildLogger(settings) {
   };
 }
-function safeJson(x) {
-  try { return JSON.stringify(x); } catch (e) { return '[unjsonable]'; }
-}
+/**
+ * ✅ IMPORTANT: Hook'ları burada export et
+ * security.js içinde bunlar tanımlı olacak.
+ */
+const Security = require('./security');
 module.exports = {
+  // helpers
   PLUGIN_ID,
   DEFAULTS,
   getSettings,
@@ -127,4 +115,9 @@ module.exports = {
   getClientIp,
   sha1,
   buildLogger,
-};
+  // hooks (plugin.json bunları arıyor)
+  init: Security.init,
+  recordSession: Security.recordSession,
+  checkSession: Security.checkSession,
+}

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "nodebb-plugin-anti-account-sharing",
-  "version": "1.0.5",
+  "version": "1.0.6",
   "description": "Prevents account sharing by enforcing a single active session policy for desktop devices.",
   "main": "library.js",
   "keywords": [

package/static/security.js CHANGED Viewed

@@ -27,7 +27,6 @@ function sessionObjectKeys(sid) {
 }
 async function getUserSessionIds(uid) {
-  // NodeBB genelde sorted set tutar
   try {
     const sids = await db.getSortedSetRange(SESS_SET(uid), 0, -1);
     return Array.isArray(sids) ? sids : [];
@@ -36,8 +35,7 @@ async function getUserSessionIds(uid) {
   }
 }
-async function deleteSession(sid, logger) {
-  // session obj key’leri silmeyi dener
+async function deleteSessionObjects(sid, logger) {
   for (const k of sessionObjectKeys(sid)) {
     try {
       await db.delete(k);
@@ -53,6 +51,7 @@ async function kickOtherSessions(uid, keepSid, logger) {
   if (!all.length) return { total: 0, removed: 0 };
   let removed = 0;
   for (const sid of all) {
     if (!sid) continue;
     if (keepSid && sid === keepSid) continue;
@@ -65,8 +64,9 @@ async function kickOtherSessions(uid, keepSid, logger) {
       logger.warn('Failed removing session from sessions set', { uid, sid, err: e.message });
     }
-    await deleteSession(sid, logger);
+    await deleteSessionObjects(sid, logger);
   }
   return { total: all.length, removed };
 }
@@ -76,7 +76,6 @@ function getCurrentSessionId(req) {
   // Cookie’den yakalamayı dene (connect.sid vb.)
   const cookie = (req.headers && req.headers.cookie) ? String(req.headers.cookie) : '';
-  // connect.sid=s%3Axxxxx.yyyyy
   const m = cookie.match(/connect\.sid=([^;]+)/i);
   if (m && m[1]) return decodeURIComponent(m[1]).replace(/^s:/, '').split('.')[0];
   return null;
@@ -100,6 +99,7 @@ async function shouldTrigger(uid, fp, nowSec, settings) {
   if (diff <= settings.windowSeconds) {
     return { trigger: true, reason: `fp_changed_within_${settings.windowSeconds}s` };
   }
   return { trigger: false, reason: `fp_changed_outside_window(${diff}s)` };
 }
@@ -124,11 +124,6 @@ function createSecurityMiddleware(settings, logger) {
       const uid = parseInt(req.uid, 10);
       if (!Number.isFinite(uid) || uid <= 0) return next();
-      // Bazı route’larda user obj yoksa da problem değil
-      // (Bunu loglamak istersen aç)
-      // const u = await user.getUserFields(uid, ['username']);
-      // const username = u?.username;
       const fp = getFingerprint(req, settings);
       const nowSec = Math.floor(Date.now() / 1000);
@@ -145,20 +140,16 @@ function createSecurityMiddleware(settings, logger) {
         });
         if (settings.enforcement === 'block') {
-          // current request’i de engelle
           await updateLast(uid, fp, req, nowSec);
-          res.status(403).json({
+          return res.status(403).json({
             error: 'account-sharing-detected',
             message: 'Bu hesap farklı cihaz/ağ üzerinden aynı anda kullanılıyor olabilir.',
           });
-          return;
         }
         // kick mode: diğer session’ları kır
         const result = await kickOtherSessions(uid, keepSid, logger);
         logger.info('Kick result', { uid, ...result });
-        // (İsteğe bağlı) burada kullanıcıya bildirim de basılabilir
       }
       // her request sonunda last’i güncelle
@@ -174,8 +165,7 @@ function createSecurityMiddleware(settings, logger) {
 const Security = {};
 Security.init = async function (params) {
-  // NodeBB hook: static:app.load (en yaygın)
-  // params: { app, router, middleware, controllers }
+  // NodeBB hook: static:app.load
   const { app } = params;
   const settings = await getSettings();
   const logger = buildLogger(settings);
@@ -192,14 +182,56 @@ Security.init = async function (params) {
     return;
   }
-  // trust proxy opsiyonel (reverse proxy varsa doğru ip için)
+  // Reverse proxy varsa gerçek IP için
   try {
     app.set('trust proxy', !!settings.trustProxy);
   } catch (e) {}
-  // NodeBB’nin auth middleware’inden sonra çalışması için genelde app.use yeterli
-  app.use(createSecurityMiddleware(settings, logger));
+  // ✅ DEBUG ENDPOINT
+  // Sadece login olmuş kullanıcı görür (istersen admin-only yap)
+  app.get('/api/aas/debug', async (req, res) => {
+    try {
+      const uid = parseInt(req.uid, 10) || 0;
+      if (uid <= 0) {
+        return res.status(401).json({ ok: false, error: 'not-logged-in' });
+      }
+      // ✅ opsiyonel: sadece admin
+      // const isAdmin = await user.isAdministrator(uid);
+      // if (!isAdmin) return res.status(403).json({ ok: false, error: 'admin-only' });
+      const fp = getFingerprint(req, settings);
+      const sid = req.sessionID;
+      const sessions = await db.getSortedSetRange(`uid:${uid}:sessions`, 0, -1);
+      logger.info('DEBUG endpoint hit', {
+        uid,
+        sid,
+        fp,
+        sessionsCount: sessions.length,
+      });
+      return res.json({
+        ok: true,
+        plugin: PLUGIN_ID,
+        uid,
+        sessionID: sid,
+        fingerprint: fp,
+        sessions,
+        headers: {
+          ua: req.headers['user-agent'],
+          ip: req.headers['x-forwarded-for'] || req.ip,
+        },
+      });
+    } catch (e) {
+      logger.error('DEBUG endpoint error', { err: e.message });
+      return res.status(500).json({ error: e.message });
+    }
+  });
+  // ✅ middleware attach
+  app.use(createSecurityMiddleware(settings, logger));
   logger.info('Security middleware attached', { plugin: PLUGIN_ID });
 };