feat: 系统全面优化 - 设备管理/登录日志导出/性能监控/设置页面

后端： - 新增全局设备管理 API（DeviceHandler.GetAllDevices） - 新增登录日志导出功能（LogHandler.ExportLoginLogs, CSV/XLSX） - 新增设置服务（SettingsService）和设置页面 API - 设备管理支持多条件筛选（状态/信任状态/关键词） - 登录日志支持流式导出防 OOM - 操作日志支持按方法/时间范围搜索 - 主题配置服务（ThemeService） - 增强监控健康检查（Prometheus metrics + SLO） - 移除旧 ratelimit.go（已迁移至 robustness） - 修复 SocialAccount NULL 扫描问题 - 新增 API 契约测试、Handler 测试、Settings 测试前端： - 新增管理员设备管理页面（DevicesPage） - 新增管理员登录日志导出功能 - 新增系统设置页面（SettingsPage） - 设备管理支持筛选和分页 - 增强 HTTP 响应类型测试： - 业务逻辑测试 68 个（含并发 CONC_001~003） - 规模测试 16 个（P99 百分位统计） - E2E 测试、集成测试、契约测试 - 性能基准测试、鲁棒性测试全面测试通过（38 个测试包）
2026-04-07 12:08:16 +08:00
parent 8655b39b03
commit 5ca3633be4
36 changed files with 4552 additions and 134 deletions
--- a/internal/auth/totp.go
+++ b/internal/auth/totp.go
@@ -2,7 +2,6 @@ package auth

 import (
 	"bytes"
-	"crypto/hmac"
 	"crypto/rand"
 	"crypto/sha256"
 	"crypto/subtle"
@@ -119,16 +118,23 @@ func HashRecoveryCode(code string) (string, error) {
 }

 // VerifyRecoveryCode 验证恢复码（自动哈希后比较）
+// 使用恒定时间比较防止时序攻击
 func VerifyRecoveryCode(inputCode string, hashedCodes []string) (int, bool) {
 	hashedInput, err := HashRecoveryCode(inputCode)
 	if err != nil {
 		return -1, false
 	}
-	for i, hashed := range hashedCodes {
-		if hmac.Equal([]byte(hashedInput), []byte(hashed)) {
-			return i, true
+	found := -1
+	// 固定次数比较，防止时序攻击泄露匹配位置
+	for i := 0; i < len(hashedCodes); i++ {
+		hashed := hashedCodes[i]
+		if subtle.ConstantTimeCompare([]byte(hashedInput), []byte(hashed)) == 1 {
+			found = i
 		}
 	}
+	if found >= 0 {
+		return found, true
+	}
 	return -1, false
 }