Update files

2025-11-05 01:23:33 +03:00 · 2025-11-05 01:23:33 +03:00 · 3d8eab6cdc
parent e3a363e3d9
commit 3d8eab6cdc
5 changed files with 59 additions and 44 deletions
--- a/backend/middleware/rateLimiter.js
+++ b/backend/middleware/rateLimiter.js
@ -2,7 +2,7 @@ const rateLimit = require('express-rate-limit');

 // Общий лимит для API
 const generalLimiter = rateLimit({
-  windowMs: 15 * 60 * 1000, // 15 минут
+  windowMs: 15 * 1000, // 15 секунд
  max: 100, // 100 запросов
  message: 'Слишком много запросов, попробуйте позже',
  standardHeaders: true,
@ -11,29 +11,29 @@ const generalLimiter = rateLimit({

 // Строгий лимит для создания постов
 const postCreationLimiter = rateLimit({
-  windowMs: 60 * 60 * 1000, // 1 час
-  max: 10, // 10 постов в час
+  windowMs: 15 * 1000, // 15 секунд
+  max: 10, // 10 постов
  message: 'Вы создаёте слишком много постов, подождите немного',
  skipSuccessfulRequests: true,
 });

 // Лимит для авторизации
 const authLimiter = rateLimit({
-  windowMs: 15 * 60 * 1000, // 15 минут
+  windowMs: 15 * 1000, // 15 секунд
  max: 5, // 5 попыток
  message: 'Слишком много попыток авторизации',
 });

 // Лимит для поиска
 const searchLimiter = rateLimit({
-  windowMs: 60 * 1000, // 1 минута
+  windowMs: 15 * 1000, // 15 секунд
  max: 30, // 30 запросов
  message: 'Слишком много поисковых запросов',
 });

 // Лимит для лайков/комментариев (защита от спама)
 const interactionLimiter = rateLimit({
-  windowMs: 60 * 1000, // 1 минута
+  windowMs: 15 * 1000, // 15 секунд
  max: 20, // 20 действий
  message: 'Вы слишком активны, немного подождите',
 });
--- a/backend/middleware/security.js
+++ b/backend/middleware/security.js
@ -47,7 +47,7 @@ const hppProtection = hpp();

 // Строгий rate limit для авторизации
 const strictAuthLimiter = rateLimit({
-  windowMs: 15 * 60 * 1000, // 15 минут
+  windowMs: 15 * 1000, // 15 секунд
  max: 5, // 5 попыток
  message: 'Слишком много попыток авторизации, попробуйте позже',
  standardHeaders: true,
@ -57,7 +57,7 @@ const strictAuthLimiter = rateLimit({

 // Rate limit для создания постов (защита от спама)
 const strictPostLimiter = rateLimit({
-  windowMs: 60 * 60 * 1000, // 1 час
+  windowMs: 15 * 1000, // 15 секунд
  max: 10, // 10 постов
  message: 'Превышен лимит создания постов, попробуйте позже',
  standardHeaders: true,
@ -67,7 +67,7 @@ const strictPostLimiter = rateLimit({

 // Rate limit для файлов
 const fileUploadLimiter = rateLimit({
-  windowMs: 60 * 60 * 1000, // 1 час
+  windowMs: 15 * 1000, // 15 секунд
  max: 50, // 50 загрузок
  message: 'Превышен лимит загрузки файлов',
  standardHeaders: true,
@ -76,8 +76,8 @@ const fileUploadLimiter = rateLimit({

 // DDoS защита - агрессивный rate limit
 const ddosProtection = rateLimit({
-  windowMs: 60 * 1000, // 1 минута
-  max: 100, // 100 запросов в минуту
+  windowMs: 15 * 1000, // 15 секунд
+  max: 100, // 100 запросов
  message: 'Слишком много запросов, попробуйте позже',
  standardHeaders: true,
  legacyHeaders: false,
--- a/frontend/src/App.jsx
+++ b/frontend/src/App.jsx
@ -41,40 +41,43 @@ function App() {
        return
      }
      
-      // Получить данные пользователя из Telegram
-      let telegramUser = getTelegramUser()
+      // В официальном клиенте Telegram есть initData (даже если user еще не распарсен)
+      // Пробуем авторизоваться через API - backend распарсит initData
      
-      // Если нет пользователя в initData, но есть WebApp API - дать время на инициализацию
-      if (!telegramUser) {
-        // Дать немного времени на инициализацию (Telegram Web App может загружаться асинхронно)
-        await new Promise(resolve => setTimeout(resolve, 200))
-        telegramUser = getTelegramUser()
+      // Дать время на полную инициализацию Telegram Web App
+      await new Promise(resolve => setTimeout(resolve, 300))
      
-        // Если все еще нет пользователя, показываем Login Widget
-        if (!telegramUser) {
+      // Проверить наличие initData (главный индикатор что мы в Telegram)
+      const initData = tg.initData || ''
+      
+      if (initData) {
+        // Есть initData - пробуем авторизоваться через API
+        try {
+          const userData = await verifyAuth()
+          setUser(userData)
+          
+          // Обработать параметр start из Telegram
+          if (tg?.startParam?.startsWith('post_')) {
+            const postId = tg.startParam.replace('post_', '')
+            window.location.href = `/feed?post=${postId}`
+          }
+          return
+        } catch (authError) {
+          console.error('Ошибка авторизации через API:', authError)
+          // Если авторизация не удалась, показываем Login Widget
          setShowLogin(true)
          setLoading(false)
          return
        }
      }
      
-      // Верифицировать через API
-      const userData = await verifyAuth()
-      setUser(userData)
-      
-      // Обработать параметр start из Telegram (для открытия конкретного поста)
-      if (tg?.startParam) {
-        // Если startParam начинается с "post_", это ссылка на пост
-        if (tg.startParam.startsWith('post_')) {
-          const postId = tg.startParam.replace('post_', '')
-          // Перенаправить на страницу с конкретным постом
-          window.location.href = `/feed?post=${postId}`
-        }
-      }
+      // Если нет initData, но есть WebApp API - это странно
+      // Показываем Login Widget
+      setShowLogin(true)
+      setLoading(false)
    } catch (err) {
      console.error('Ошибка инициализации:', err)
      setError(err.message)
-    } finally {
      setLoading(false)
    }
  }
--- a/package.json
+++ b/package.json
@ -32,7 +32,8 @@
    "helmet": "^7.1.0",
    "express-mongo-sanitize": "^2.2.0",
    "xss-clean": "^0.1.4",
-    "hpp": "^0.2.3"
+    "hpp": "^0.2.3",
+    "validator": "^13.11.0"
  },
  "devDependencies": {
    "nodemon": "^3.0.1",
--- a/🔧_ИСПРАВЛЕНИЯ_СЕРВЕРА.txt
+++ b/🔧_ИСПРАВЛЕНИЯ_СЕРВЕРА.txt
@ -16,8 +16,13 @@

 ✅ 2. Исправлена логика авторизации в App.jsx
   • Проверка наличия window.Telegram?.WebApp перед проверкой пользователя
-   • Добавлена задержка на инициализацию Telegram Web App (200ms)
-   • Правильная обработка официального клиента Telegram
+   • Добавлена задержка на инициализацию Telegram Web App (300ms)
+   • Проверка наличия initData (строка) вместо initDataUnsafe.user
+   • Правильная обработка официального клиента Telegram - авторизация через API даже если user еще не распарсен
+   • Backend распарсит initData и создаст/найдет пользователя
+
+✅ 3. Добавлена зависимость validator в package.json
+   • validator: ^13.11.0 - для валидации и санитизации данных


 КОМАНДЫ ДЛЯ ОБНОВЛЕНИЯ НА СЕРВЕРЕ:
@ -36,13 +41,13 @@ cd /var/www/nakama
 git pull origin main

 # 5. Установить недостающие зависимости
-npm install helmet express-mongo-sanitize xss-clean hpp --save
+npm install helmet express-mongo-sanitize xss-clean hpp validator --save

 # Или установить все зависимости заново
 npm install --production

 # 6. Проверить что зависимости установлены
-npm list helmet express-mongo-sanitize xss-clean hpp
+npm list helmet express-mongo-sanitize xss-clean hpp validator

 # 7. Пересобрать frontend (с исправленной логикой авторизации)
 cd frontend
@ -69,7 +74,7 @@ pm2 logs nakama-backend --lines 50
 БЫСТРАЯ КОМАНДА (одна строка):
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

-ssh root@nakama.glpshchn.ru "cd /var/www/nakama && pm2 stop nakama-backend && npm install helmet express-mongo-sanitize xss-clean hpp --save && cd frontend && npm run build && cd .. && pm2 start backend/server.js --name nakama-backend --update-env && sleep 2 && pm2 status && pm2 logs nakama-backend --lines 30"
+ssh root@nakama.glpshchn.ru "cd /var/www/nakama && pm2 stop nakama-backend && npm install helmet express-mongo-sanitize xss-clean hpp validator --save && cd frontend && npm run build && cd .. && pm2 start backend/server.js --name nakama-backend --update-env && sleep 2 && pm2 status && pm2 logs nakama-backend --lines 30"


 ПРОВЕРКА ПОСЛЕ ОБНОВЛЕНИЯ:
@ -107,8 +112,14 @@ sudo tail -f /var/log/nginx/error.log
   РЕШЕНИЕ: Добавлены зависимости в package.json

 ✅ Проблема 2: Даже с офф клиента Telegram просит авторизацию
-   РЕШЕНИЕ: Исправлена логика в App.jsx - теперь правильно проверяет
-            наличие Telegram Web App API и дает время на инициализацию
+   РЕШЕНИЕ: Исправлена логика в App.jsx - теперь проверяет наличие initData
+            (строка) вместо initDataUnsafe.user. Если есть initData, пытается
+            авторизоваться через API (backend распарсит initData). Это решает
+            проблему когда в официальном клиенте Telegram initDataUnsafe.user
+            еще не распарсен, но initData уже доступен.
+
+✅ Проблема 4: Error: Cannot find module 'validator'
+   РЕШЕНИЕ: Добавлена зависимость validator в package.json

 ✅ Проблема 3: 502 ошибка и постоянные ребуты
   РЕШЕНИЕ: После установки зависимостей приложение должно запускаться
@ -126,7 +137,7 @@ sudo tail -f /var/log/nginx/error.log
 3. Проверить логи PM2 после перезапуска

 4. Если все еще есть ошибки - проверить что все зависимости установлены:
-   npm list helmet express-mongo-sanitize xss-clean hpp
+   npm list helmet express-mongo-sanitize xss-clean hpp validator


 ГОТОВО! ✅