snakeia-server 1.2.7 → 2.0.0

package/.drone.yml

@@ -15,5 +15,5 @@ steps:
     password:
       from_secret: REGISTRY_PASSWORD
     tags:
-      - 1.2.7
+      - 2.0.0
       - latest

package/GameEngineMultithreading.js

@@ -147,6 +147,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "aiStuck": game.aiStuck,
             "precAiStuck": false,
@@ -167,6 +169,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });
@@ -180,6 +184,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });
@@ -192,6 +198,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });
@@ -208,6 +216,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });
@@ -224,6 +234,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });
@@ -242,6 +254,8 @@ if(!isMainThread) {
             "confirmExit": false,
             "getInfos": false,
             "getInfosGame": false,
+            "getInfosControls": false,
+            "getInfosGoal": false,
             "errorOccurred": game.errorOccurred,
             "engineLoading": game.engineLoading
           });

package/Player.js

@@ -16,9 +16,12 @@
  * You should have received a copy of the GNU General Public License
  * along with "SnakeIA Server".  If not, see <http://www.gnu.org/licenses/>.
  */
+const { jwtVerify } = require("jose");
+
 class Player {
-  constructor(token, id, snake, ready, version) {
+  constructor(token, name, id, snake, ready, version) {
     this.token = token;
+    this.name = name;
     this.id = id;
     this.snake = snake;
     this.ready = ready;
@@ -26,7 +29,7 @@ class Player {
   }
 
   get username() {
-    return Player.getUsername(this);
+    return this.name;
   }
 
   static getPlayer(array, id) {
@@ -57,7 +60,7 @@ class Player {
   }
 
   static getPlayerToken(array, token) {
-    if (!token) return null;
+    if(!token) return null;
     for (let i = 0; i < array.length; i++) {
       if (array[i] != null && array[i].token == token) {
         return array[i];
@@ -68,7 +71,7 @@ class Player {
   }
 
   static getPlayerAllGamesToken(token, games) {
-    if (!token) return null;
+    if(!token) return null;
     const keys = Object.keys(games);
 
     for (let i = 0; i < keys.length; i++) {
@@ -101,27 +104,28 @@ class Player {
     return Player.getPlayerAllGamesToken(token, games) != null;
   }
 
-  static getUsername(player) {
+  static getSocketToken(socket) {
+    return socket?.handshake?.auth?.token
+        || socket?.handshake?.query?.token
+        || socket?.request?.cookies?.token;
+  }
+
+  static getUsernameSocket(socket, jsonWebTokenSecretKey) {
     try {
-      const decoded_token = jwt.verify(player.token, jsonWebTokenSecretKey);
-      return decoded_token && decoded_token.username
-        ? decoded_token.username
-        : null;
+      const token = Player.getSocketToken(socket);
+
+      return Player.getUsernameToken(token, jsonWebTokenSecretKey);
     } catch (e) {
       return null;
     }
   }
 
-  static getUsernameSocket(socket) {
+  static async getUsernameToken(token, jsonWebTokenSecretKey) {
     try {
-      const decoded_token = jwt.verify(
-        socket.handshake.auth.token ||
-          socket.handshake.query.token ||
-          socket.request.cookies.token,
-        jsonWebTokenSecretKey
-      );
-      return decoded_token && decoded_token.username
-        ? decoded_token.username
+      const { payload } = await jwtVerify(token, jsonWebTokenSecretKey);
+
+      return payload && payload.username
+        ? payload.username
         : null;
     } catch (e) {
       return null;

package/README.md

@@ -8,7 +8,7 @@ A server for my [SnakeIA](https://github.com/Eliastik/snakeia) game, written in
 
 ## About this server
 
-* Version 1.2.7 (2/22/2026)
+* Version 2.0.0 (05/08/2026)
 * Made in France by Eliastik - [eliastiksofts.com](http://eliastiksofts.com) - Contact : [eliastiksofts.com/contact](http://eliastiksofts.com/contact)
 * License: GNU GPLv3 (see LICENCE.txt file)
 
@@ -74,7 +74,7 @@ You can create another configuration file in the **config** directory named **lo
 ````
 {
     "ServerConfig": {
-        "version": "1.2.7", // The server version
+        "version": "2.0.0", // The server version
         "port": 3000, // The port where the server runs
         "enableHttps": false, // Enable or disable HTTPS listening on the server. If disabled, the server will only listen on HTTP.
         "httpsCertFile": "path/to/https/cert.pem", // Path to HTTPS certificate file
@@ -93,6 +93,7 @@ You can create another configuration file in the **config** directory named **lo
         "aiUltraModelID": null, // ID of the model (as returned by the API at the URL above) to load for the Ultra AI. Can be left empty; in that case, the default model provided by the API will be loaded
         "aiUltraCustomModelURL": null, // A URL pointing to a custom AI model to load. Must be a TensorFlow.js model trained for the Ultra AI. If there's an issue, game initialization will fail when Ultra AIs are present in the game
         "playerWaitTime": 45000, // The time while waiting for players to join a room (ms)
+        "matchmakingWaitTime": 30000, // The amount of time you must wait before resuming matchmaking after a game ends (ms)
         "enableMaxTimeGame": true, // Enable time limit for each game
         "maxTimeGame": 300000, // The time limit for each game (ms)
         "enableAuthentication": true, // Enable authentification when connecting to the server
@@ -105,8 +106,12 @@ You can create another configuration file in the **config** directory named **lo
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify", // ReCaptcha API URL
         "recaptchaPublicKey": "", // ReCaptcha public key (if not provided, the ReCaptcha will be disabled)
         "recaptchaPrivateKey": "", // ReCaptcha private key (if not provided, the ReCaptcha will be disabled)
-        "authentMaxRequest": 50, // Maximum request for authentication
-        "authentWindowMs": 900000, // Time when the authentication requests are saved (ms)
+        "authentMaxRequest": 15, // Maximum number of authentication attempts per time window
+        "authentWindowMs": 900000, // Time window duration (for authentication) in ms (900000 = 15 minutes)
+        "adminAuthentMaxRequest": 5, // Maximum number of authentication attempts on the admin panel per time window
+        "adminAuthentWindowMs": 900000, // Time window duration (for admin authentication) in ms (900000 = 15 minutes)
+        "adminActionsMaxRequest": 30, // Maximum number of actions on the admin panel per time window
+        "adminActionsWindowMs": 60000, // Time window duration (for admin actions) in ms (60000 = 1 minute)
         "ipBan": [], // A list of IP to ban
         "usernameBan": [], // A list of usernames to ban
         "contactBan": "", // A contact URL displayed when an user is banned
@@ -126,6 +131,42 @@ You can create another configuration file in the **config** directory named **lo
 
 ## Changelog
 
+* Version 2.0.0 (5/8/2026):
+    - ⚠️ Breaking Changes:
+        - Authentication is no longer compatible with SnakeIA 3.1.0 and earlier versions;
+        - Clients must be updated to SnakeIA 3.2.0 to support the new authentication method;
+        - An explicit error message is now displayed when an incompatible client attempts to authenticate;
+    - Updated to SnakeIA 3.2.0 to benefit from the latest improvements;
+    - Matchmaking now automatically restarts 30 seconds after the end of a game (configurable through the `matchmakingWaitTime` setting);
+    - Bug fixes and security improvements:
+        - Fixed a security issue in the previous authentication system:
+            - The socket ID was transmitted through the authentication URL;
+            - An attacker could reuse this URL to retrieve the victim's token;
+            - The impact remained limited since accounts are currently ephemeral;
+        - Improved security by implementing CSRF protection on most endpoints (previously, only a few endpoints were covered);
+        - Strengthened the rate limiting system:
+            - Stricter rate limiting rules;
+            - Added rate limiting for administration actions;
+            - Separate configurations for:
+                - User authentication;
+                - Administrator authentication;
+                - Administration actions;
+        - Fixed issues related to retrieving usernames from tokens;
+        - Fixed a server crash occurring when modifying the configuration from the administration/moderation panel while the configuration file was read-only;
+    - Technical improvements:
+        - Migrated to the Jose library for authentication token management;
+        - Improved HTTP responses to better comply with REST API standards across multiple endpoints;
+        - Codebase refactoring;
+        - Updated dependencies.
+
+* Version 2.0.0-beta.1 (3/7/2026):
+    - ⚠️ Breaking Changes:
+    - Authentication is no longer compatible with SnakeIA 3.1.0 and earlier versions.
+      An update to SnakeIA will be released soon to restore compatibility.
+    - Bug fixes and security improvements
+    - Code refactoring
+    - Dependency updates
+
 * Version 1.2.7 (2/22/2026):
     - Update dependencies + SnakeIA to version 3.1.0
 
@@ -229,7 +270,7 @@ Un serveur pour mon jeu [SnakeIA](https://github.com/Eliastik/snakeia), écrit e
 
 ## À propos de ce serveur
 
-* Version 1.2.7 (22/02/2026)
+* Version 2.0.0 (08/05/2026)
 * Made in France by Eliastik - [eliastiksofts.com](http://eliastiksofts.com) - Contact : [eliastiksofts.com/contact](http://eliastiksofts.com/contact)
 * Licence : GNU GPLv3 (voir le fichier LICENCE.txt)
 
@@ -295,7 +336,7 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
 ````
 {
     "ServerConfig": {
-        "version": "1.2.7", // La version du serveur
+        "version": "2.0.0", // La version du serveur
         "port": 3000, // Le port sur lequel lancer le server
         "enableHttps": false, // Activer ou désactiver l'écoute du serveur en HTTPS. Si désactivé, le serveur n'écoutera qu'en HTTP.
         "httpsCertFile": "path/to/https/cert.pem", // Chemin vers le certificat HTTPS
@@ -314,6 +355,7 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
         "aiUltraModelID": null, // ID du modèle (tel que retourné par l'API à l'URL du dessus) à charger pour l'IA Ultra. Peut rester vide, dans ce cas, le modèle par défaut fourni par l'API sera chargé
         "aiUltraCustomModelURL": null, // Une URL pointant vers un modèle d'IA à charger. Doit être un modèle Tensorflow.js entraîné pour l'IA Ultra. En cas de soucis, l'initialisation du jeu plantera quand des IA Ultra seront dans la partie
         "playerWaitTime": 45000, // Le temps durant lequel attendre la connexion d'autres joueurs à la salle (ms)
+        "matchmakingWaitTime": 30000, // Le temps durant lequel attendre avant de recommencer le matchmaking après la fin d'une partie (ms)
         "enableMaxTimeGame": true, // Activer la limite de temps pour chaque partie
         "maxTimeGame": 300000, // La limite de temps pour chaque partie (ms)
         "enableAuthentication": true, // Activer l'authentification lors de la connexion au serveur
@@ -326,8 +368,12 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify", // URL de l'API ReCaptcha
         "recaptchaPublicKey": "", // Clé publique ReCaptcha (si non fournie, le ReCaptcha sera désactivé)
         "recaptchaPrivateKey": "", // Clé privée ReCaptcha (si non fournie, le ReCaptcha sera désactivé)
-        "authentMaxRequest": 50, // Nombre maximal de requêtes lors de l'authentification
-        "authentWindowMs": 900000, // Temps durant lequel les tentatives d'authentification seront enregistrées (ms)
+        "authentMaxRequest": 15, // Nombre maximal de tentatives d'authentification par fenêtre de temps
+        "authentWindowMs": 900000, // Durée de la fenêtre de temps (pour l'authentification) en ms (900000 = 15 minutes)
+        "adminAuthentMaxRequest": 5, // Nombre maximal de tentatives d'authentification sur l'interface d'administration par fenêtre de temps
+        "adminAuthentWindowMs": 900000, // Durée de la fenêtre de temps (pour l'authentification admin) en ms (900000 = 15 minutes)
+        "adminActionsMaxRequest": 30, // Nombre maximal d'actions sur l'interface d'administration par fenêtre de temps
+        "adminActionsWindowMs": 60000, // Durée de la fenêtre de temps (pour les actions admin) en ms (60000 = 1 minute)
         "ipBan": [], // Une liste d'IPs à bannir
         "usernameBan": [], // Une liste de noms d'utilisateur à bannir
         "contactBan": "", // Une URL de contact à afficher lorsque l'utilisateur est banni
@@ -347,6 +393,42 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
 
 ## Journal des changements
 
+* Version 2.0.0 (08/05/2026) :
+    - ⚠️ Breaking Changes :
+        - L'authentification n'est plus compatible avec SnakeIA 3.1.0 et versions inférieures ;
+        - Le client doit être mis à jour vers SnakeIA 3.2.0 pour être compatible avec la nouvelle méthode d'authentification ;
+        - Une erreur explicite est désormais affichée à l'authentification lorsqu'un client incompatible tente de se connecter ;
+    - Mise à jour vers SnakeIA 3.2.0 pour profiter des dernières améliorations ;
+    - Le matchmaking se relance automatiquement au bout de 30 secondes après la fin d'une partie (paramétrable via la configuration `matchmakingWaitTime`) ;
+    - Correction de bugs et améliorations de sécurité :
+        - Correction d'une faille de sécurité dans l'ancien système d'authentification :
+            - L'ID du socket était transmis dans l'URL d'authentification ;
+            - Un attaquant pouvait alors réutiliser cette URL pour récupérer le token de sa victime ;
+            - L'impact restait limité car les comptes sont actuellement éphémères ;
+        - Amélioration de la sécurité avec la mise en place d'une protection CSRF sur la plupart des endpoints (auparavant, seuls quelques endpoints étaient couverts) ;
+        - Renforcement du système de rate limiting :
+            - Règles plus restrictives ;
+            - Ajout du rate limiting pour les actions d'administration ;
+            - Configuration distincte pour :
+                - L'authentification utilisateur ;
+                - L'authentification administrateur ;
+                - Les actions d'administration ;
+        - Correction de bugs avec la récupération du nom d'utilisateur des tokens ;
+        - Correction d'un crash du serveur lors de la modification de la configuration via le panneau d'administration/modération si le fichier de configuration était en lecture seule ;
+    - Améliorations techniques :
+        - Migration vers la librairie Jose pour la gestion des tokens d'authentification ;
+        - Améliorations des réponses HTTP (respectent les normes API REST) des différents endpoints ;
+        - Refactorisation du code ;
+        - Mise à jour des dépendances
+
+* Version 2.0.0-beta.1 (07/03/2026) :
+    - ⚠️ Breaking Changes :
+        - L'authentification n'est plus compatible avec SnakeIA 3.1.0 et versions inférieures
+          Une mise à jour de SnakeIA sera publiée prochainement pour rétablir la compatibilité.
+    - Correction de bugs et améliorations de sécurité
+    - Refactorisation du code
+    - Mise à jour des dépendances
+
 * Version 1.2.7 (22/02/2026) :
     - Mise à jour des dépendences + SnakeIA vers 3.1.0
 

package/config/default.json

@@ -1,6 +1,6 @@
 {
     "ServerConfig": {
-        "version": "1.2.7",
+        "version": "2.0.0",
         "port": 3000,
         "enableHttps": false,
         "httpsCertFile": "path/to/https/cert.pem",
@@ -19,6 +19,7 @@
         "aiUltraModelID": null,
         "aiUltraCustomModelURL": null,
         "playerWaitTime": 60000,
+        "matchmakingWaitTime": 30000,
         "enableMaxTimeGame": true,
         "maxTimeGame": 300000,
         "enableAuthentication": true,
@@ -31,8 +32,12 @@
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify",
         "recaptchaPublicKey": "",
         "recaptchaPrivateKey": "",
-        "authentMaxRequest": 50,
+        "authentMaxRequest": 15,
         "authentWindowMs": 900000,
+        "adminAuthentMaxRequest": 5,
+        "adminAuthentWindowMs": 900000,
+        "adminActionsMaxRequest": 30,
+        "adminActionsWindowMs": 60000,
         "ipBan": [],
         "usernameBan": [],
         "contactBan": "",

package/locales/en.json

@@ -61,5 +61,6 @@
 	"moderator": "Moderator",
 	"administrator": "Administrator",
 	"role": "Role:",
-	"loggedInAs": "Logged in as"
+	"loggedInAs": "Logged in as",
+	"clientNotCompatible": "Your version of the game is not compatible with this server (server version: %s). Update your game, then try again."
 }

package/locales/fr.json

@@ -61,5 +61,6 @@
 	"moderator": "Modérateur",
 	"administrator": "Administrateur",
 	"role": "Rôle :",
-	"loggedInAs": "Connecté en tant que"
+	"loggedInAs": "Connecté en tant que",
+	"clientNotCompatible": "Votre version du jeu n'est pas compatible avec ce serveur (version serveur : %s). Mettez à jour votre jeu, puis réessayez."
 }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "snakeia-server",
-  "version": "1.2.7",
+  "version": "2.0.0",
   "description": "Server for multiplaying in SnakeIA (https://github.com/Eliastik/snakeia)",
   "main": "server.js",
   "scripts": {
@@ -19,20 +19,29 @@
   "homepage": "https://github.com/Eliastik/snakeia-server#readme",
   "dependencies": {
     "body-parser": "^2.2.2",
-    "config": "^4.3.0",
+    "config": "^4.4.1",
     "cookie-parser": "^1.4.7",
     "csrf-csrf": "^4.0.3",
-    "ejs": "^4.0.1",
+    "ejs": "^5.0.2",
     "express": "^5.2.1",
-    "express-rate-limit": "^8.2.1",
+    "express-rate-limit": "^8.5.1",
     "html-entities": "^2.6.0",
     "i18n": "^0.15.3",
-    "jsonwebtoken": "^9.0.3",
+    "jose": "^6.2.3",
     "node-fetch": "^3.3.2",
     "seedrandom": "^3.0.5",
-    "snakeia": "^3.1.0",
+    "semver": "^7.7.4",
+    "snakeia": "^3.2.0",
     "socket.io": "^4.8.3",
     "socket.io-cookie-parser": "^1.0.0",
     "winston": "^3.19.0"
+  },
+  "overrides": {
+    "@tensorflow/tfjs-node": {
+      "tar": "^7.5.10"
+    },
+    "@mapbox/node-pre-gyp": {
+      "tar": "^7.5.10"
+    }
   }
 }