Dasko/GoNtech
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases 1 Wiki Activity
Files
main
GoNtech/internal/handler/prijava_test.go
T
Dasko b112d46e4e feat(2fa): rezervni (jednokratni) kodovi za 2FA 
Alternativa TOTP-u kada uređaj nije dostupan. Po CLAUDE.md specifikaciji:
10 kodova pri aktivaciji, čuvani kao bcrypt heš.

Backend:
- migracija 039 (tabela rezervni_kodovi, FK CASCADE)
- auth.GenerisiRezervneKodove (Crockford base32, XXXX-XXXX) + NormalizujRezervniKod
- RezervniKodoviRepository (Zameni/Iskoristi/BrojPreostalih/Obrisi) + SQLite impl
- žičenje u Handler (+ reinicijalizuj)

Prijava:
- VerifikujTotp prvo proba TOTP, pa rezervni kod (isto polje); kod je jednokratni
- totp_provera.html: input opušten (slova/crtica), napomena o rezervnom kodu

Profil:
- aktivacija generiše i prikazuje kodove JEDNOM; dugme Regeneriši; brojač preostalo X/10
- deaktivacija briše kodove

Testovi: auth (generisanje/format/normalizacija), repo (jednokratnost/regeneracija),
prijava rezervnim kodom end-to-end. Ukupno 36 test funkcija.
2026-06-12 23:44:09 +02:00

292 lines
8.5 KiB
Go
Raw Permalink Blame History

package handler
import (
"context"
"crypto/rand"
"net/http"
"net/http/httptest"
"net/url"
"os"
"path/filepath"
"strings"
"testing"
"time"
"ntech/internal/auth"
"ntech/internal/db/sqlite"
"github.com/pquerna/otp/totp"
)
const testIP = "1.2.3.4"
// testHandler pravi Handler nad privremenom bazom sa pravim migracijama.
// TemplatesFS je koren repo-a (../..) da standalone render (zakljucano) radi.
func testHandler(t *testing.T) *Handler {
t.Helper()
putanja := filepath.Join(t.TempDir(), "test.db")
db, err := sqlite.OtvoriDB(putanja)
if err != nil {
t.Fatalf("OtvoriDB: %v", err)
}
if err := sqlite.PokreniMigracije(db, os.DirFS("../..")); err != nil {
t.Fatalf("migracije: %v", err)
}
t.Cleanup(func() { db.Close() })
kljuc := make([]byte, 32)
rand.Read(kljuc)
h := Novi(db, kljuc)
h.TemplatesFS = os.DirFS("../..")
return h
}
func seedKorisnik(t *testing.T, h *Handler, ime, lozinka, uloga string) int64 {
t.Helper()
hash, err := auth.HashujLozinku(lozinka)
if err != nil {
t.Fatalf("hash: %v", err)
}
k, err := h.KorisniciRepo.Kreiraj(context.Background(), ime, hash, uloga)
if err != nil {
t.Fatalf("Kreiraj korisnika: %v", err)
}
return k.ID
}
// postPrijava gradi POST /prijava zahtev sa datim kredencijalima
func postPrijava(ime, lozinka string) *http.Request {
form := url.Values{}
form.Set("korisnicko_ime", ime)
form.Set("lozinka", lozinka)
r := httptest.NewRequest("POST", "/prijava", strings.NewReader(form.Encode()))
r.Header.Set("Content-Type", "application/x-www-form-urlencoded")
r.RemoteAddr = testIP + ":5555"
return r
}
// sesijskiKolacic vraća vrednost kolačića ntech_sesija iz odgovora, ili "" ako ga nema
func sesijskiKolacic(res *http.Response) string {
for _, c := range res.Cookies() {
if c.Name == imeKolacica && c.MaxAge >= 0 && c.Value != "" {
return c.Value
}
}
return ""
}
func TestPrijavaUspeh(t *testing.T) {
h := testHandler(t)
seedKorisnik(t, h, "pera", "tajna123", "radnik")
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123"))
res := w.Result()
if res.StatusCode != http.StatusSeeOther {
t.Fatalf("status = %d, očekivano 303", res.StatusCode)
}
if loc := res.Header.Get("Location"); loc != "/dashboard" {
t.Fatalf("Location = %q, očekivano /dashboard", loc)
}
if sesijskiKolacic(res) == "" {
t.Fatal("nije postavljen sesijski kolačić")
}
}
func TestPrijavaPogresnaLozinka(t *testing.T) {
h := testHandler(t)
seedKorisnik(t, h, "pera", "tajna123", "radnik")
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "pogresna"))
res := w.Result()
if loc := res.Header.Get("Location"); loc != "/prijava?greska=1" {
t.Fatalf("Location = %q, očekivano /prijava?greska=1", loc)
}
if sesijskiKolacic(res) != "" {
t.Fatal("sesijski kolačić NE bi smeo da postoji uz pogrešnu lozinku")
}
// neuspeh je zabeležen za brute-force
n, _ := h.PokusajiRepo.BrojNeuspeha(context.Background(), testIP, time.Now().Add(-time.Minute))
if n != 1 {
t.Fatalf("zabeleženo %d neuspeha, očekivano 1", n)
}
}
func TestPrijavaNepostojeciKorisnik(t *testing.T) {
h := testHandler(t)
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("nema_me", "bilosta"))
res := w.Result()
if loc := res.Header.Get("Location"); loc != "/prijava?greska=1" {
t.Fatalf("Location = %q, očekivano /prijava?greska=1", loc)
}
if sesijskiKolacic(res) != "" {
t.Fatal("sesijski kolačić NE bi smeo da postoji")
}
}
func TestPrijavaNeaktivanNalog(t *testing.T) {
h := testHandler(t)
id := seedKorisnik(t, h, "pera", "tajna123", "radnik")
if err := h.KorisniciRepo.AzurirajAktivan(context.Background(), id, false); err != nil {
t.Fatalf("deaktivacija: %v", err)
}
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123")) // ispravna lozinka, ali neaktivan
res := w.Result()
if loc := res.Header.Get("Location"); loc != "/prijava?greska=1" {
t.Fatalf("Location = %q, očekivano /prijava?greska=1", loc)
}
if sesijskiKolacic(res) != "" {
t.Fatal("neaktivan nalog NE sme dobiti sesiju")
}
}
func TestPrijavaZakljucavanjeIP(t *testing.T) {
h := testHandler(t)
seedKorisnik(t, h, "pera", "tajna123", "radnik")
// 5 neuspelih pokušaja sa istog IP-a
for i := 0; i < maxNeuspehaPrijave; i++ {
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "pogresna"))
}
// 6. pokušaj sa ISPRAVNOM lozinkom mora biti zaključan
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123"))
res := w.Result()
if sesijskiKolacic(res) != "" {
t.Fatal("zaključan IP NE sme dobiti sesiju ni uz ispravnu lozinku")
}
if loc := res.Header.Get("Location"); loc == "/dashboard" {
t.Fatal("zaključan IP je preusmeren na /dashboard")
}
}
func TestTotpTok(t *testing.T) {
h := testHandler(t)
ctx := context.Background()
id := seedKorisnik(t, h, "pera", "tajna123", "radnik")
const tajna = "JBSWY3DPEHPK3PXP"
if err := h.KorisniciRepo.SacuvajTotpTajnu(ctx, id, tajna); err != nil {
t.Fatalf("SacuvajTotpTajnu: %v", err)
}
// prijava lozinkom → pred-sesija + redirect na /prijava/totp (NE /dashboard)
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123"))
res := w.Result()
if loc := res.Header.Get("Location"); loc != "/prijava/totp" {
t.Fatalf("Location = %q, očekivano /prijava/totp", loc)
}
token := sesijskiKolacic(res)
if token == "" {
t.Fatal("nije postavljen pred-sesijski kolačić")
}
// generiši validan TOTP kod i potvrdi
kod, err := totp.GenerateCode(tajna, time.Now())
if err != nil {
t.Fatalf("GenerateCode: %v", err)
}
form := url.Values{}
form.Set("kod", kod)
r2 := httptest.NewRequest("POST", "/prijava/totp", strings.NewReader(form.Encode()))
r2.Header.Set("Content-Type", "application/x-www-form-urlencoded")
r2.AddCookie(&http.Cookie{Name: imeKolacica, Value: token})
w2 := httptest.NewRecorder()
h.VerifikujTotp(w2, r2)
res2 := w2.Result()
if loc := res2.Header.Get("Location"); loc != "/dashboard" {
t.Fatalf("posle TOTP-a Location = %q, očekivano /dashboard", loc)
}
// sesija je sada potvrđena
ses, err := h.SesijeRepo.DohvatiPoTokenu(ctx, token)
if err != nil {
t.Fatalf("DohvatiPoTokenu: %v", err)
}
if !ses.TotpPotvrdjeno {
t.Fatal("sesija nije označena kao TOTP-potvrđena")
}
}
func TestPrijavaRezervnimKodom(t *testing.T) {
h := testHandler(t)
ctx := context.Background()
id := seedKorisnik(t, h, "pera", "tajna123", "radnik")
_ = h.KorisniciRepo.SacuvajTotpTajnu(ctx, id, "JBSWY3DPEHPK3PXP")
// generiši i sačuvaj rezervne kodove
kodovi, err := auth.GenerisiRezervneKodove(5)
if err != nil {
t.Fatalf("GenerisiRezervneKodove: %v", err)
}
var hashevi []string
for _, kod := range kodovi {
hash, _ := auth.HashujLozinku(kod)
hashevi = append(hashevi, hash)
}
if err := h.RezervniKodoviRepo.Zameni(ctx, id, hashevi); err != nil {
t.Fatalf("Zameni: %v", err)
}
// prijava lozinkom → pred-sesija
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123"))
token := sesijskiKolacic(w.Result())
// umesto TOTP-a unesi REZERVNI kod
form := url.Values{}
form.Set("kod", kodovi[0])
r := httptest.NewRequest("POST", "/prijava/totp", strings.NewReader(form.Encode()))
r.Header.Set("Content-Type", "application/x-www-form-urlencoded")
r.AddCookie(&http.Cookie{Name: imeKolacica, Value: token})
w2 := httptest.NewRecorder()
h.VerifikujTotp(w2, r)
if loc := w2.Result().Header.Get("Location"); loc != "/dashboard" {
t.Fatalf("rezervnim kodom Location = %q, očekivano /dashboard", loc)
}
// kod je potrošen (jednokratni) — preostalo 4
if n, _ := h.RezervniKodoviRepo.BrojPreostalih(ctx, id); n != 4 {
t.Fatalf("posle upotrebe preostalo %d kodova, očekivano 4", n)
}
}
func TestTotpPogresanKod(t *testing.T) {
h := testHandler(t)
ctx := context.Background()
id := seedKorisnik(t, h, "pera", "tajna123", "radnik")
_ = h.KorisniciRepo.SacuvajTotpTajnu(ctx, id, "JBSWY3DPEHPK3PXP")
w := httptest.NewRecorder()
h.Prijava(w, postPrijava("pera", "tajna123"))
token := sesijskiKolacic(w.Result())
form := url.Values{}
form.Set("kod", "000000")
r := httptest.NewRequest("POST", "/prijava/totp", strings.NewReader(form.Encode()))
r.Header.Set("Content-Type", "application/x-www-form-urlencoded")
r.AddCookie(&http.Cookie{Name: imeKolacica, Value: token})
w2 := httptest.NewRecorder()
h.VerifikujTotp(w2, r)
if loc := w2.Result().Header.Get("Location"); loc != "/prijava/totp?greska=1" {
t.Fatalf("Location = %q, očekivano /prijava/totp?greska=1", loc)
}
// sesija ostaje nepotvrđena
if ses, _ := h.SesijeRepo.DohvatiPoTokenu(ctx, token); ses != nil && ses.TotpPotvrdjeno {
t.Fatal("sesija ne sme biti potvrđena uz pogrešan kod")
}
}
Reference in New Issue View Git Blame Copy Permalink