В форму включения двухфакторной аутентификации добавлено поле для фиксации времени запроса

2025-05-31 14:11:46 +05:30 · 2017-02-22 01:49:24 +03:00
parent 0eedfe91a2
commit 7bf8260331
3 changed files with 47 additions and 4 deletions
--- a/api/validators/TotpValidator.php
+++ b/api/validators/TotpValidator.php
@@ -19,9 +19,17 @@ class TotpValidator extends Validator {
     * @var int|null Задаёт окно, в промежуток которого будет проверяться код.
     * Позволяет избежать ситуации, когда пользователь ввёл код в последнюю секунду
     * его существования и пока шёл запрос, тот протух.
+     * Значение задаётся в +- кодах, а не секундах.
     */
    public $window;

+    /**
+     * @var int|callable|null Позволяет задать точное время, относительно которого будет
+     * выполняться проверка. Это может быть собственно время или функция, возвращающая значение.
+     * Если не задано, то будет использовано текущее время.
+     */
+    public $timestamp;
+
    public $skipOnEmpty = false;

    public function init() {
@@ -41,11 +49,23 @@ class TotpValidator extends Validator {

    protected function validateValue($value) {
        $totp = new TOTP(null, $this->account->otp_secret);
-        if (!$totp->verify((string)$value, null, $this->window)) {
+        if (!$totp->verify((string)$value, $this->getTimestamp(), $this->window)) {
            return [E::OTP_TOKEN_INCORRECT, []];
        }

        return null;
    }

+    private function getTimestamp(): ?int {
+        if ($this->timestamp === null) {
+            return null;
+        }
+
+        if (is_callable($this->timestamp)) {
+            return (int)call_user_func($this->timestamp);
+        }
+
+        return (int)$this->timestamp;
+    }
+
 }