snakeia-server 2.0.0-beta.1 → 2.0.0

package/.drone.yml

@@ -15,5 +15,5 @@ steps:
     password:
       from_secret: REGISTRY_PASSWORD
     tags:
-      - 2.0.0-beta.1
+      - 2.0.0
       - latest

package/README.md

@@ -8,7 +8,7 @@ A server for my [SnakeIA](https://github.com/Eliastik/snakeia) game, written in
 
 ## About this server
 
-* Version 2.0.0-beta.1 (3/7/2026)
+* Version 2.0.0 (05/08/2026)
 * Made in France by Eliastik - [eliastiksofts.com](http://eliastiksofts.com) - Contact : [eliastiksofts.com/contact](http://eliastiksofts.com/contact)
 * License: GNU GPLv3 (see LICENCE.txt file)
 
@@ -74,7 +74,7 @@ You can create another configuration file in the **config** directory named **lo
 ````
 {
     "ServerConfig": {
-        "version": "2.0.0-beta.1", // The server version
+        "version": "2.0.0", // The server version
         "port": 3000, // The port where the server runs
         "enableHttps": false, // Enable or disable HTTPS listening on the server. If disabled, the server will only listen on HTTP.
         "httpsCertFile": "path/to/https/cert.pem", // Path to HTTPS certificate file
@@ -93,6 +93,7 @@ You can create another configuration file in the **config** directory named **lo
         "aiUltraModelID": null, // ID of the model (as returned by the API at the URL above) to load for the Ultra AI. Can be left empty; in that case, the default model provided by the API will be loaded
         "aiUltraCustomModelURL": null, // A URL pointing to a custom AI model to load. Must be a TensorFlow.js model trained for the Ultra AI. If there's an issue, game initialization will fail when Ultra AIs are present in the game
         "playerWaitTime": 45000, // The time while waiting for players to join a room (ms)
+        "matchmakingWaitTime": 30000, // The amount of time you must wait before resuming matchmaking after a game ends (ms)
         "enableMaxTimeGame": true, // Enable time limit for each game
         "maxTimeGame": 300000, // The time limit for each game (ms)
         "enableAuthentication": true, // Enable authentification when connecting to the server
@@ -105,8 +106,12 @@ You can create another configuration file in the **config** directory named **lo
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify", // ReCaptcha API URL
         "recaptchaPublicKey": "", // ReCaptcha public key (if not provided, the ReCaptcha will be disabled)
         "recaptchaPrivateKey": "", // ReCaptcha private key (if not provided, the ReCaptcha will be disabled)
-        "authentMaxRequest": 50, // Maximum request for authentication
-        "authentWindowMs": 900000, // Time when the authentication requests are saved (ms)
+        "authentMaxRequest": 15, // Maximum number of authentication attempts per time window
+        "authentWindowMs": 900000, // Time window duration (for authentication) in ms (900000 = 15 minutes)
+        "adminAuthentMaxRequest": 5, // Maximum number of authentication attempts on the admin panel per time window
+        "adminAuthentWindowMs": 900000, // Time window duration (for admin authentication) in ms (900000 = 15 minutes)
+        "adminActionsMaxRequest": 30, // Maximum number of actions on the admin panel per time window
+        "adminActionsWindowMs": 60000, // Time window duration (for admin actions) in ms (60000 = 1 minute)
         "ipBan": [], // A list of IP to ban
         "usernameBan": [], // A list of usernames to ban
         "contactBan": "", // A contact URL displayed when an user is banned
@@ -126,6 +131,34 @@ You can create another configuration file in the **config** directory named **lo
 
 ## Changelog
 
+* Version 2.0.0 (5/8/2026):
+    - ⚠️ Breaking Changes:
+        - Authentication is no longer compatible with SnakeIA 3.1.0 and earlier versions;
+        - Clients must be updated to SnakeIA 3.2.0 to support the new authentication method;
+        - An explicit error message is now displayed when an incompatible client attempts to authenticate;
+    - Updated to SnakeIA 3.2.0 to benefit from the latest improvements;
+    - Matchmaking now automatically restarts 30 seconds after the end of a game (configurable through the `matchmakingWaitTime` setting);
+    - Bug fixes and security improvements:
+        - Fixed a security issue in the previous authentication system:
+            - The socket ID was transmitted through the authentication URL;
+            - An attacker could reuse this URL to retrieve the victim's token;
+            - The impact remained limited since accounts are currently ephemeral;
+        - Improved security by implementing CSRF protection on most endpoints (previously, only a few endpoints were covered);
+        - Strengthened the rate limiting system:
+            - Stricter rate limiting rules;
+            - Added rate limiting for administration actions;
+            - Separate configurations for:
+                - User authentication;
+                - Administrator authentication;
+                - Administration actions;
+        - Fixed issues related to retrieving usernames from tokens;
+        - Fixed a server crash occurring when modifying the configuration from the administration/moderation panel while the configuration file was read-only;
+    - Technical improvements:
+        - Migrated to the Jose library for authentication token management;
+        - Improved HTTP responses to better comply with REST API standards across multiple endpoints;
+        - Codebase refactoring;
+        - Updated dependencies.
+
 * Version 2.0.0-beta.1 (3/7/2026):
     - ⚠️ Breaking Changes:
     - Authentication is no longer compatible with SnakeIA 3.1.0 and earlier versions.
@@ -237,7 +270,7 @@ Un serveur pour mon jeu [SnakeIA](https://github.com/Eliastik/snakeia), écrit e
 
 ## À propos de ce serveur
 
-* Version 2.0.0-beta.1 (07/03/2026)
+* Version 2.0.0 (08/05/2026)
 * Made in France by Eliastik - [eliastiksofts.com](http://eliastiksofts.com) - Contact : [eliastiksofts.com/contact](http://eliastiksofts.com/contact)
 * Licence : GNU GPLv3 (voir le fichier LICENCE.txt)
 
@@ -303,7 +336,7 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
 ````
 {
     "ServerConfig": {
-        "version": "2.0.0-beta.1", // La version du serveur
+        "version": "2.0.0", // La version du serveur
         "port": 3000, // Le port sur lequel lancer le server
         "enableHttps": false, // Activer ou désactiver l'écoute du serveur en HTTPS. Si désactivé, le serveur n'écoutera qu'en HTTP.
         "httpsCertFile": "path/to/https/cert.pem", // Chemin vers le certificat HTTPS
@@ -322,6 +355,7 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
         "aiUltraModelID": null, // ID du modèle (tel que retourné par l'API à l'URL du dessus) à charger pour l'IA Ultra. Peut rester vide, dans ce cas, le modèle par défaut fourni par l'API sera chargé
         "aiUltraCustomModelURL": null, // Une URL pointant vers un modèle d'IA à charger. Doit être un modèle Tensorflow.js entraîné pour l'IA Ultra. En cas de soucis, l'initialisation du jeu plantera quand des IA Ultra seront dans la partie
         "playerWaitTime": 45000, // Le temps durant lequel attendre la connexion d'autres joueurs à la salle (ms)
+        "matchmakingWaitTime": 30000, // Le temps durant lequel attendre avant de recommencer le matchmaking après la fin d'une partie (ms)
         "enableMaxTimeGame": true, // Activer la limite de temps pour chaque partie
         "maxTimeGame": 300000, // La limite de temps pour chaque partie (ms)
         "enableAuthentication": true, // Activer l'authentification lors de la connexion au serveur
@@ -334,8 +368,12 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify", // URL de l'API ReCaptcha
         "recaptchaPublicKey": "", // Clé publique ReCaptcha (si non fournie, le ReCaptcha sera désactivé)
         "recaptchaPrivateKey": "", // Clé privée ReCaptcha (si non fournie, le ReCaptcha sera désactivé)
-        "authentMaxRequest": 50, // Nombre maximal de requêtes lors de l'authentification
-        "authentWindowMs": 900000, // Temps durant lequel les tentatives d'authentification seront enregistrées (ms)
+        "authentMaxRequest": 15, // Nombre maximal de tentatives d'authentification par fenêtre de temps
+        "authentWindowMs": 900000, // Durée de la fenêtre de temps (pour l'authentification) en ms (900000 = 15 minutes)
+        "adminAuthentMaxRequest": 5, // Nombre maximal de tentatives d'authentification sur l'interface d'administration par fenêtre de temps
+        "adminAuthentWindowMs": 900000, // Durée de la fenêtre de temps (pour l'authentification admin) en ms (900000 = 15 minutes)
+        "adminActionsMaxRequest": 30, // Nombre maximal d'actions sur l'interface d'administration par fenêtre de temps
+        "adminActionsWindowMs": 60000, // Durée de la fenêtre de temps (pour les actions admin) en ms (60000 = 1 minute)
         "ipBan": [], // Une liste d'IPs à bannir
         "usernameBan": [], // Une liste de noms d'utilisateur à bannir
         "contactBan": "", // Une URL de contact à afficher lorsque l'utilisateur est banni
@@ -355,6 +393,34 @@ Vous pouvez créer un fichier de configuration **local.json** dans le dossier **
 
 ## Journal des changements
 
+* Version 2.0.0 (08/05/2026) :
+    - ⚠️ Breaking Changes :
+        - L'authentification n'est plus compatible avec SnakeIA 3.1.0 et versions inférieures ;
+        - Le client doit être mis à jour vers SnakeIA 3.2.0 pour être compatible avec la nouvelle méthode d'authentification ;
+        - Une erreur explicite est désormais affichée à l'authentification lorsqu'un client incompatible tente de se connecter ;
+    - Mise à jour vers SnakeIA 3.2.0 pour profiter des dernières améliorations ;
+    - Le matchmaking se relance automatiquement au bout de 30 secondes après la fin d'une partie (paramétrable via la configuration `matchmakingWaitTime`) ;
+    - Correction de bugs et améliorations de sécurité :
+        - Correction d'une faille de sécurité dans l'ancien système d'authentification :
+            - L'ID du socket était transmis dans l'URL d'authentification ;
+            - Un attaquant pouvait alors réutiliser cette URL pour récupérer le token de sa victime ;
+            - L'impact restait limité car les comptes sont actuellement éphémères ;
+        - Amélioration de la sécurité avec la mise en place d'une protection CSRF sur la plupart des endpoints (auparavant, seuls quelques endpoints étaient couverts) ;
+        - Renforcement du système de rate limiting :
+            - Règles plus restrictives ;
+            - Ajout du rate limiting pour les actions d'administration ;
+            - Configuration distincte pour :
+                - L'authentification utilisateur ;
+                - L'authentification administrateur ;
+                - Les actions d'administration ;
+        - Correction de bugs avec la récupération du nom d'utilisateur des tokens ;
+        - Correction d'un crash du serveur lors de la modification de la configuration via le panneau d'administration/modération si le fichier de configuration était en lecture seule ;
+    - Améliorations techniques :
+        - Migration vers la librairie Jose pour la gestion des tokens d'authentification ;
+        - Améliorations des réponses HTTP (respectent les normes API REST) des différents endpoints ;
+        - Refactorisation du code ;
+        - Mise à jour des dépendances
+
 * Version 2.0.0-beta.1 (07/03/2026) :
     - ⚠️ Breaking Changes :
         - L'authentification n'est plus compatible avec SnakeIA 3.1.0 et versions inférieures

package/config/default.json

@@ -1,6 +1,6 @@
 {
     "ServerConfig": {
-        "version": "2.0.0-beta.1",
+        "version": "2.0.0",
         "port": 3000,
         "enableHttps": false,
         "httpsCertFile": "path/to/https/cert.pem",
@@ -19,6 +19,7 @@
         "aiUltraModelID": null,
         "aiUltraCustomModelURL": null,
         "playerWaitTime": 60000,
+        "matchmakingWaitTime": 30000,
         "enableMaxTimeGame": true,
         "maxTimeGame": 300000,
         "enableAuthentication": true,
@@ -31,8 +32,12 @@
         "recaptchaApiUrl": "https://www.google.com/recaptcha/api/siteverify",
         "recaptchaPublicKey": "",
         "recaptchaPrivateKey": "",
-        "authentMaxRequest": 50,
+        "authentMaxRequest": 15,
         "authentWindowMs": 900000,
+        "adminAuthentMaxRequest": 5,
+        "adminAuthentWindowMs": 900000,
+        "adminActionsMaxRequest": 30,
+        "adminActionsWindowMs": 60000,
         "ipBan": [],
         "usernameBan": [],
         "contactBan": "",

package/locales/en.json

@@ -61,5 +61,6 @@
 	"moderator": "Moderator",
 	"administrator": "Administrator",
 	"role": "Role:",
-	"loggedInAs": "Logged in as"
+	"loggedInAs": "Logged in as",
+	"clientNotCompatible": "Your version of the game is not compatible with this server (server version: %s). Update your game, then try again."
 }

package/locales/fr.json

@@ -61,5 +61,6 @@
 	"moderator": "Modérateur",
 	"administrator": "Administrateur",
 	"role": "Rôle :",
-	"loggedInAs": "Connecté en tant que"
+	"loggedInAs": "Connecté en tant que",
+	"clientNotCompatible": "Votre version du jeu n'est pas compatible avec ce serveur (version serveur : %s). Mettez à jour votre jeu, puis réessayez."
 }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "snakeia-server",
-  "version": "2.0.0-beta.1",
+  "version": "2.0.0",
   "description": "Server for multiplaying in SnakeIA (https://github.com/Eliastik/snakeia)",
   "main": "server.js",
   "scripts": {
@@ -22,15 +22,16 @@
     "config": "^4.4.1",
     "cookie-parser": "^1.4.7",
     "csrf-csrf": "^4.0.3",
-    "ejs": "^5.0.1",
+    "ejs": "^5.0.2",
     "express": "^5.2.1",
-    "express-rate-limit": "^8.3.0",
+    "express-rate-limit": "^8.5.1",
     "html-entities": "^2.6.0",
     "i18n": "^0.15.3",
-    "jose": "^6.2.0",
+    "jose": "^6.2.3",
     "node-fetch": "^3.3.2",
     "seedrandom": "^3.0.5",
-    "snakeia": "^3.1.0",
+    "semver": "^7.7.4",
+    "snakeia": "^3.2.0",
     "socket.io": "^4.8.3",
     "socket.io-cookie-parser": "^1.0.0",
     "winston": "^3.19.0"

package/server.js

@@ -41,6 +41,7 @@ const { randomUUID,
   randomBytes,
   createSecretKey,
   createHash }         = require("crypto");
+const semver           = require("semver");
 
 process.env["ALLOW_CONFIG_MUTATIONS"] = true;
 let config = node_config.get("ServerConfig"); // Server configuration (see default config file config.json)
@@ -63,8 +64,13 @@ const productionMode = process.env.NODE_ENV === "production";
 
 // Update config to file
 function updateConfigToFile() {
-  fs.writeFileSync(configFile, JSON.stringify({ "ServerConfig": config }, null, 4), "UTF-8");
-  config = node_config.get("ServerConfig");
+  try {
+    fs.writeFileSync(configFile, JSON.stringify({ "ServerConfig": config }, null, 4), "UTF-8");
+    config = node_config.get("ServerConfig");
+    logger.info("updated config file");
+  } catch(e) {
+    logger.error("failed to update config file", e);
+  }
 }
 
 // Logging
@@ -316,6 +322,7 @@ async function createRoom(data, socket) {
         started: false,
         alreadyInit: false,
         timeoutPlay: null,
+        timeoutMatchmaking: null,
         timeStart: null,
         timeoutMaxTimePlay: null
       };
@@ -509,7 +516,14 @@ function setupRoom(code) {
     if(games[code] != null) {
       games[code].started = false;
       games[code].searchingPlayers = true;
+
       clearTimeout(games[code].timeoutMaxTimePlay);
+      clearTimeout(games[code].timeoutMatchmaking);
+
+      games[code].timeoutMatchmaking = setTimeout(() => {
+        gameMatchmaking(games[code], code);
+        io.to("room-" + code).emit("reset", { "gameOver": false, "gameFinished": false, "scoreMax": false, "gameMazeWin": false });
+      }, config.matchmakingWaitTime);
     }
   });
 
@@ -631,6 +645,11 @@ function cleanRooms() {
 }
 
 function gameMatchmaking(game, code) {
+  if(game.timeoutMatchmaking != null) {
+    clearTimeout(game.timeoutMatchmaking);
+    game.timeoutMatchmaking = null;
+  }
+
   if(game != null && games[code] != null && games[code].searchingPlayers) {
     let numberPlayers = game.players.length + games[code].numberAIToAdd;
 
@@ -696,6 +715,11 @@ async function startGame(code) {
       game.timeoutPlay = null;
     }
 
+    if(game.timeoutMatchmaking != null) {
+      clearTimeout(game.timeoutMatchmaking);
+      game.timeoutMatchmaking = null;
+    }
+
     game.searchingPlayers = false;
     game.started = true;
     game.gameEngine.snakes = [];
@@ -941,9 +965,9 @@ const { doubleCsrfProtection: doubleCsrfProtectionUserAuthent, generateCsrfToken
       req.query?._csrf
     );
   },
-  cookieName: productionMode ? "__Host-snakeia-server.x-csrf-token-user" : "snakeia-server.x-csrf-token-user",
+  cookieName: "snakeia-server.x-csrf-token-user",
   cookieOptions: {
-    sameSite: productionMode ? "strict" : "lax",
+    sameSite: "lax",
     path: "/authentication",
     secure: productionMode
   }
@@ -959,6 +983,8 @@ app.use("/authentication", rateLimit({
 // IP ban
 app.use(function(req, res, next) {
   if(ipBanned(req.ip)) {
+    res.status(403);
+
     return res.render(__dirname + "/views/banned.html", {
       contact: config.contactBan,
       theme: req.query.theme
@@ -978,6 +1004,7 @@ app.get("/", function(req, res) {
 
 app.get("/authentication", async (req, res) => {
   if(!req.cookies || !config.enableAuthentication) {
+    res.status(400);
     return res.end();
   }
 
@@ -985,6 +1012,12 @@ app.get("/authentication", async (req, res) => {
 
   setSessionCookie(req, res);
 
+  const clientCompatible = isClientCompatible(req.query.version, req.query.id);
+
+  if(!clientCompatible) {
+    res.status(403);
+  }
+
   res.render(__dirname + "/views/authentication.html", {
     publicKey: config.recaptchaPublicKey,
     enableRecaptcha: config.enableRecaptcha,
@@ -1000,14 +1033,26 @@ app.get("/authentication", async (req, res) => {
     enableMaxTimeGame: config.enableMaxTimeGame,
     maxTimeGame: config.maxTimeGame,
     theme: req.query.theme,
+    clientCompatible,
+    serverGameVersion: GameConstants.Setting.APP_VERSION,
     csrfToken: generateCsrfTokenUserAuthent(req, res, { overwrite: true, validateOnReuse: true }),
   });
 
-  if(authenticated) {
+  if(authenticated && clientCompatible) {
     sendTokenToSocket(req, getExpressUserToken(req));
   }
 });
 
+function isClientCompatible(version, hasIdQueryParam) {
+  const hasNoVersion = !version || version.trim().length === 0;
+
+  if((hasNoVersion && hasIdQueryParam) || hasNoVersion) {
+    return false;
+  }
+
+  return semver.gte(version, GameConstants.Setting.APP_VERSION);
+}
+
 function setSessionCookie(req, res) {
   let sessionId = req.cookies.sessionId;
 
@@ -1026,6 +1071,7 @@ function setSessionCookie(req, res) {
 
 app.post("/authentication", doubleCsrfProtectionUserAuthent, async (req, res) => {
   if(!req.cookies || !config.enableAuthentication) {
+    res.status(400);
     return res.end();
   }
 
@@ -1035,11 +1081,17 @@ app.post("/authentication", doubleCsrfProtectionUserAuthent, async (req, res) =>
     return res.end();
   }
 
+  const clientCompatible = isClientCompatible(req.query.version, req.query.id);
+
   let formError = null;
 
-  await verifyFormAuthentication(req.body).catch(e => formError = e);
+  if(clientCompatible) {
+    await verifyFormAuthentication(req.body).catch(e => formError = e);
+  }
+
+  if(formError || !clientCompatible) {
+    res.status(403);
 
-  if(formError) {
     return res.render(__dirname + "/views/authentication.html", {
       publicKey: config.recaptchaPublicKey,
       enableRecaptcha: config.enableRecaptcha,
@@ -1055,6 +1107,8 @@ app.post("/authentication", doubleCsrfProtectionUserAuthent, async (req, res) =>
       enableMaxTimeGame: config.enableMaxTimeGame,
       maxTimeGame: config.maxTimeGame,
       theme: req.query.theme,
+      clientCompatible,
+      serverGameVersion: GameConstants.Setting.APP_VERSION,
       csrfToken: generateCsrfTokenUserAuthent(req, res, { overwrite: true, validateOnReuse: true })
     });
   }
@@ -1084,6 +1138,8 @@ app.post("/authentication", doubleCsrfProtectionUserAuthent, async (req, res) =>
     enableMaxTimeGame: config.enableMaxTimeGame,
     maxTimeGame: config.maxTimeGame,
     theme: req.query.theme,
+    clientCompatible,
+    serverGameVersion: GameConstants.Setting.APP_VERSION,
     csrfToken: null
   });
 
@@ -1201,13 +1257,21 @@ function manualIPBan(value) {
 }
 
 function resetLog() {
-  fs.writeFileSync(config.logFile, "", "UTF-8");
-  logger.info("log file reseted");
+  try {
+    fs.writeFileSync(config.logFile, "", "UTF-8");
+    logger.info("log file reseted");
+  } catch(e) {
+    logger.error("failed to reset log file", e);
+  }
 }
 
 function resetErrorLog() {
-  fs.writeFileSync(config.errorLogFile, "", "UTF-8");
-  logger.info("error log file reseted");
+  try {
+    fs.writeFileSync(config.errorLogFile, "", "UTF-8");
+    logger.info("error log file reseted");
+  } catch(e) {
+    logger.error("failed to reset error log file", e);
+  }
 }
 
 function updateConfig(value) {
@@ -1269,8 +1333,21 @@ async function verifyAdminToken(req) {
   }
 }
 
-app.get("/admin", doubleCsrfProtectionAdmin, async (req, res) => {
+const adminAuthentRateLimiter = rateLimit({
+  windowMs: config.adminAuthentWindowMs,
+  max: config.adminAuthentMaxRequest,
+  validate: { trustProxy: false }
+});
+
+const adminActionsRateLimiter = rateLimit({
+  windowMs: config.adminActionsWindowMs,
+  max: config.adminActionsMaxRequest,
+  validate: { trustProxy: false }
+});
+
+app.get("/admin", adminActionsRateLimiter, doubleCsrfProtectionAdmin, async (req, res) => {
   if(!req.cookies) {
+    res.status(400);
     return res.end();
   }
 
@@ -1282,6 +1359,10 @@ app.get("/admin", doubleCsrfProtectionAdmin, async (req, res) => {
     fs.promises.readFile(config.logFile, "UTF-8").catch(() => ""),
     fs.promises.readFile(config.errorLogFile, "UTF-8").catch(() => "")
   ]);
+
+  if(!authenticated) {
+    res.status(401);
+  }
       
   res.render(__dirname + "/views/admin.html", {
     publicKey: config.recaptchaPublicKey,
@@ -1295,7 +1376,7 @@ app.get("/admin", doubleCsrfProtectionAdmin, async (req, res) => {
     locale: i18n.getLocale(req),
     games: games,
     io: io,
-    config: config,
+    config: role === "administrator" ? config : null,
     csrfToken: generateCsrfTokenAdmin(req, res, { overwrite: true, validateOnReuse: true }),
     serverLog: logFile,
     errorLog: errorLogFile,
@@ -1306,13 +1387,14 @@ app.get("/admin", doubleCsrfProtectionAdmin, async (req, res) => {
 
 async function adminAction(req, res, action) {
   if(!req.cookies) {
+    res.status(400);
     return res.end();
   }
 
   const payload = await verifyAdminToken(req);
 
   if(!payload) {
-    return res.redirect("/admin");
+    return res.redirect(303, "/admin");
   }
 
   const role = config.adminAccounts[payload.username]["role"] || "moderator";
@@ -1321,7 +1403,7 @@ async function adminAction(req, res, action) {
     invalidatedAdminTokens.add(req.cookies.tokenAdmin);
     res.clearCookie("tokenAdmin");
 
-    return res.redirect("/admin");
+    return res.redirect(303, "/admin");
   }
 
   const { socket, token, value } = req.body;
@@ -1359,22 +1441,37 @@ async function adminAction(req, res, action) {
       unbanIP(value);
       break;
     case "resetLog":
-      if(role === "administrator") resetLog();
+      if(role === "administrator") {
+        resetLog();
+      } else {
+        res.status(403);
+        return res.end();
+      }
       break;
     case "resetErrorLog":
-      if(role === "administrator") resetErrorLog();
+      if(role === "administrator") {
+        resetErrorLog();
+      } else {
+        res.status(403);
+        return res.end();
+      }
       break;
     case "updateConfig":
-      if(role === "administrator") updateConfig(value);
+      if(role === "administrator") {
+        updateConfig(value);
+      } else {
+        res.status(403);
+        return res.end();
+      }
       break;
   }
 
-  res.redirect("/admin");
+  res.redirect(303, "/admin");
 }
 
 const jsonParser = bodyParser.json();
 
-app.post("/admin/:action", jsonParser, doubleCsrfProtectionAdmin, function(req, res) {
+app.post("/admin/:action", adminActionsRateLimiter, jsonParser, doubleCsrfProtectionAdmin, function(req, res) {
   adminAction(req, res, req.params.action);
 });
 
@@ -1384,26 +1481,23 @@ app.use(function (err, req, res, next) {
   res.send("Error: invalid CSRF token");
 });
 
-const adminRateLimiter = rateLimit({
-  windowMs: config.authentWindowMs,
-  max: config.authentMaxRequest,
-  validate: { trustProxy: false }
-});
-
-app.post("/admin", adminRateLimiter, async (req, res) => {
+app.post("/admin", adminAuthentRateLimiter, async (req, res) => {
   if(!req.cookies) {
+    res.status(400);
     return res.end();
   }
 
   const payload = await verifyAdminToken(req);
 
   if(payload) {
-    return res.redirect("/admin");
+    return res.redirect(303, "/admin");
   }
 
   try {
     await verifyFormAuthenticationAdmin(req.body);
   } catch(err) {
+    res.status(403);
+
     return res.render(__dirname + "/views/admin.html", {
       publicKey: config.recaptchaPublicKey,
       enableRecaptcha: config.enableRecaptcha,
@@ -1437,7 +1531,7 @@ app.post("/admin", adminRateLimiter, async (req, res) => {
     secure: req.protocol === "https"
   });
 
-  res.redirect("/admin");
+  res.redirect(303, "/admin");
 
   logger.info("admin authent - username: " + username + " - ip: " + req.ip);
 });
@@ -1646,7 +1740,6 @@ io.on("connection", async (socket) => {
         });
 
         logger.info("join room (code: " + code + ") - username: " + (await Player.getUsernameSocket(socket, jsonWebTokenSecretKey)) + " - ip: " + getIPSocketIO(socket.handshake) + " - socket: " + socket.id);
-
       } else {
         if(games[code] == null) {
           socket.emit("join-room", { success: false, errorCode: GameConstants.Error.ROOM_NOT_FOUND });

package/views/admin.html

@@ -271,8 +271,18 @@
           body: JSON.stringify(data),
           redirect: "follow"
         }).then((response) => {
-          if(response.ok && response.redirected) {
+          const responseOK = response.ok || response.status === 401;
+          const redirected = response.redirected;
+
+          if(responseOK && redirected) {
             location.href = response.url;
+          } else if(!responseOK) {
+            element.classList.remove("disabled");
+            element.disabled = false;
+
+            if(response.status === 403) {
+              location.href = "/admin";
+            }
           }
         }).catch(() => {
           element.classList.remove("disabled");
@@ -302,7 +312,7 @@
           if((confirmAction && confirm("<%= __("actionConfirmAdmin") %>")) || !confirmAction) {
             element.classList.add("disabled");
             element.disabled = true;
-            requestAction(action, data);
+            requestAction(action, data, element);
           }
         });
       });

package/views/authentication.html

@@ -36,7 +36,9 @@
   <body class="text-center remove-padding">
   <% } %>
     <div class="container">
-      <% if(authent) { %>
+      <% if(!clientCompatible) { %>
+      <h3><%= __("clientNotCompatible", serverGameVersion) %></h3>
+      <% } else if(authent) { %>
       <h3><%= __("alreadyAuthentified") %></h3>
       <% } else if(!success) { %>
       <form action="" method="post">