feat: Добавил поддержку TOTP

feat: добавил режим запуска headed режима
docs: Обновил README
2025-11-26 15:04:25 +03:00 · 2025-11-25 17:25:25 +03:00 · 2025-11-14 02:34:24 +03:00 · 2025-11-14 02:23:13 +03:00
6 changed files with 294 additions and 11 deletions
--- a/.gitea/workflows/gitea-push-docker.yml
+++ b/.gitea/workflows/gitea-push-docker.yml
@@ -0,0 +1,40 @@
 name: Create and publish a Docker image
 on:
  push:
    branches: ['main', 'staging']
 env:
  CONTEXT: ./src
 jobs:
  build-and-push-image:
    runs-on: ubuntu-latest
    name: Publish image
    container: catthehacker/ubuntu:act-latest
    permissions:
      contents: read
      packages: write
    steps:
      - name: Checkout repository
        uses: actions/checkout@v3
      - name: Extract metadata (tags, labels) for Docker
        id: meta
        uses: https://github.com/docker/metadata-action@v4
        with:
          images: ${{ vars.SERVER_DOMAIN }}/${{ gitea.repository }}
      - name: Build an image from Dockerfile
        run: |
          cd ${{ env.CONTEXT }} &&
          docker build -t ${{ steps.meta.outputs.tags }} .
      - name: Log in to the Container registry
        uses: docker/login-action@65b78e6e13532edd9afa3aa52ac7964289d1a9c1
        with:
          registry: ${{ vars.SERVER_DOMAIN }}
          username: ${{ gitea.actor }}
          password: ${{ secrets.TOKEN }}
      - name: Push
        run: |
          docker push '${{ steps.meta.outputs.tags }}'
--- a/README.md
+++ b/README.md
@@ -1,9 +1,22 @@
-# ModeusSchedule.MSAuth
+# Макросервис авторизации в Modeus через Microsoft
 [![MIT License](https://img.shields.io/badge/License-MIT-green.svg)](LICENSE)
 [![.NET](https://img.shields.io/badge/.NET-9.0-blue.svg)](https://dotnet.microsoft.com/download/dotnet/9.0)
 ## Зачем нужен этот сервис
 ModeusSchedule.MSAuth — это вспомогательный HTTP-сервис, который автоматизирует авторизацию в Microsoft, заходит в веб-интерфейс Modeus и извлекает свежий `id_token` (JWT). Этот токен затем может использоваться другими компонентами вашей системы для обращения к API Modeus без ручного входа пользователя. Проект устраняет необходимость хранить пользовательские cookie, а также упрощает раздачу короткоживущих токенов другим сервисам через REST‑эндпоинт.
 ### Почему макросервис?
 ```dive
 Total Image size: 1.4 GB
 Potential wasted space: 6.5 MB
 Image efficiency score: 99 % 
 ```
 > Внутри находится полноценный браузер Chromium с Playwright, что требует "значительных" ПЗУ ресурсов. Поэтому такой сервис лучше запускать отдельно от основных приложений.
 ## Ключевые возможности
 - Браузерная авторизация через Playwright и Chromium в режиме headless.
@@ -21,16 +34,17 @@ ModeusSchedule.MSAuth — это вспомогательный HTTP-серви
 ## Конфигурация
-| Параметр | Где задается | Назначение |
+| Параметр                  | Где задается                              | Назначение                                                            |
-| --- | --- | --- |
+| ------------------------- | ----------------------------------------- | --------------------------------------------------------------------- |
-| `MODEUS_URL` | `appsettings.json` / переменные окружения | URL портала Modeus (например, `https://<название вуза>.modeus.org/`). |
+| `MODEUS_URL`              | `appsettings.json` / переменные окружения | URL портала Modeus (например, `https://<название вуза>.modeus.org/`). |
-| `MS_USERNAME` | `appsettings.json` / переменные окружения | Логин сервисной учетной записи Microsoft 365. |
+| `MS_USERNAME`             | `appsettings.json` / переменные окружения | Логин сервисной учетной записи Microsoft 365.                         |
-| `MS_PASSWORD` | `appsettings.json` / переменные окружения | Пароль от этой учетной записи. |
+| `MS_PASSWORD`             | `appsettings.json` / переменные окружения | Пароль от этой учетной записи.                                        |
-| `API_KEY` *(опционально)* | `appsettings.json` / переменные окружения | Если задан, сервис будет требовать заголовок `X-API-Key`. |
+| `MS_TOTP_SECRET` *(опционально)* | `appsettings.json` / переменные окружения | Секрет для генерации TOTP-кодов.                                      |
 | `API_KEY` *(опционально)* | `appsettings.json` / переменные окружения | Если задан, сервис будет требовать заголовок `X-API-Key`.             |
 ## Быстрый старт
-1. Установите .NET 9 SDK и Playwright (будет поставлен автоматически при первом запуске).
+1. Установите .NET 9 SDK и Playwright (будет установлен автоматически при первом запуске).
 1. Создайте файл `appsettings.Development.json` или задайте переменные окружения с параметрами из таблицы выше.
 1. Соберите и запустите сервис:
@@ -59,6 +73,11 @@ curl -H "X-API-Key: <ваш ключ>" http://localhost:5000/auth/ms
 - Ограничьте доступ к эндпоинту по сети (VPN, reverse proxy) и включите проверку `API_KEY`.
 - Логи Playwright могут содержать диагностическую информацию, поэтому убедитесь, что они не раскрывают пароли.
 ## Идеи для улучшений
 - Сброс кэша по запросу.
 - Переписать на TypeScript с использованием Playwright напрямую.
 ## Лицензия
 Проект распространяется под лицензией MIT. Подробнее в файле [`LICENSE`](LICENSE).
--- a/docker-compose-dev.yml
+++ b/docker-compose-dev.yml
@@ -11,4 +11,5 @@ services:
            - MS_USERNAME=${MS_USERNAME}
            - MS_PASSWORD=${MS_PASSWORD}
            - API_KEY=${API_KEY}
            - MS_TOTP_SECRET=${MS_TOTP_SECRET}
        restart: unless-stopped
--- a/src/BrowserScripts/MicrosoftLoginHelper.cs
+++ b/src/BrowserScripts/MicrosoftLoginHelper.cs
@@ -11,7 +11,8 @@ public static class MicrosoftLoginHelper
        ILogger logger,
        string username,
        string password,
-        string loginUrl
+        string loginUrl,
        Func<string?>? totpProvider = null
        )
    {
        logger.LogInformation("Начало входа в Microsoft. Url: {LoginUrl}, пользователь: {Username}", loginUrl, username);
@@ -52,6 +53,75 @@ public static class MicrosoftLoginHelper
        logger.LogDebug("Нажата кнопка входа после ввода пароля.");
        #region MFA: выбирает TOTP вариант, запрашивает код и вводит его.
        // Пытается выбрать TOTP метод на экране выбора MFA, если он отображен.
        var totpOption = page.Locator("div[data-value='PhoneAppOTP'], div[data-value='OneWayOtp'], div[data-value='PhoneAppOTPRW'], div[data-value='AuthenticatorApp'], div[data-value='OneWayTotp']").First;
        try
        {
            await Assertions.Expect(totpOption).ToBeVisibleAsync(new() { Timeout = 3_000 });
            logger.LogDebug("Обнаружен выбор метода MFA. Выбираем опцию TOTP.");
            await totpOption.ClickAsync();
            var continueButton = page.Locator("#idSubmit_SAOTCS_ProofConfirmation, #idSIButton9, button[type='submit']").First;
            if (await continueButton.IsEnabledAsync())
            {
                await continueButton.ClickAsync();
                logger.LogDebug("Подтвердили выбор метода TOTP.");
            }
        }
        catch (PlaywrightException ex)
        {
            logger.LogDebug(ex, "Экран выбора метода MFA не отображен — продолжаем без выбора.");
        }
        var totpInput = page.Locator("#idTxtBx_SAOTCC_OTC, input[name='otc'], input[name='code']").First;
        if (totpProvider is null)
        {
            if (await totpInput.IsVisibleAsync())
            {
                logger.LogError("Обнаружен запрос на ввод TOTP, но провайдер кода не настроен. Установите переменную MS_TOTP_SECRET.");
                throw new InvalidOperationException("TOTP требуется, но провайдер не настроен");
            }
            logger.LogDebug("TOTP не требуется или провайдер не задан.");
            return;
        }
        try
        {
            await Assertions.Expect(totpInput).ToBeVisibleAsync(new() { Timeout = 10_000 });
        }
        catch (PlaywrightException ex)
        {
            logger.LogDebug(ex, "Поле ввода TOTP не найдено — MFA, вероятно, не требуется.");
            return;
        }
        var totpCode = totpProvider();
        if (string.IsNullOrWhiteSpace(totpCode))
        {
            logger.LogError("TOTP провайдер вернул пустое значение.");
            throw new InvalidOperationException("TOTP провайдер вернул пустой код");
        }
        logger.LogInformation("Обнаружен экран MFA. Вводим TOTP код.");
        await totpInput.FillAsync(totpCode);
        var submit = page.Locator("#idSubmit_SAOTCC_Continue, #idSIButton9, button[type='submit']").First;
        try
        {
            await submit.ClickAsync(new() { Timeout = 5_000 });
            logger.LogDebug("Отправлен TOTP код.");
        }
        catch (PlaywrightException ex)
        {
            logger.LogDebug(ex, "Не удалось автоматически отправить TOTP код — возможно, форма отправилась автоматически.");
        }
        #endregion
        await page.WaitForSelectorAsync("button, input[type='submit'], a", new PageWaitForSelectorOptions { Timeout = 8000 });
        var locator = page.Locator("#idSIButton9, #idBtn_Back").First;
--- a/src/Services/MicrosoftAuthService.cs
+++ b/src/Services/MicrosoftAuthService.cs
@@ -1,3 +1,4 @@
 using System.Diagnostics;
 using System.Text.Json;
 using Microsoft.Playwright;
 using ModeusSchedule.MSAuth.BrowserScripts;
@@ -13,6 +14,7 @@ public class MicrosoftAuthService(ILogger<MicrosoftAuthService> logger, IConfigu
    private string? _cachedToken;
    private DateTime _cachedAtUtc;
    private readonly TimeSpan _cacheTtl = TimeSpan.FromMinutes(20);
    private readonly TotpGenerator? _totpGenerator = CreateTotpGenerator(configuration, logger);
    public bool HasFreshToken => _cachedToken != null && DateTime.UtcNow - _cachedAtUtc < _cacheTtl;
@@ -38,7 +40,10 @@ public class MicrosoftAuthService(ILogger<MicrosoftAuthService> logger, IConfigu
        using var playwright = await Playwright.CreateAsync();
        await using var browser = await playwright.Chromium.LaunchAsync(new BrowserTypeLaunchOptions
        {
-            Headless = true
+            // Если запущен отладчик — запускаем окно браузера
            Headless = !Debugger.IsAttached,
            // При debug автоматически открывать DevTools
            // Devtools = Debugger.IsAttached
        });
        var context = await browser.NewContextAsync(new BrowserNewContextOptions
        {
@@ -49,7 +54,13 @@ public class MicrosoftAuthService(ILogger<MicrosoftAuthService> logger, IConfigu
        try
        {
            logger.LogInformation("Старт авторизации через Microsoft");
-            await MicrosoftLoginHelper.LoginMicrosoftAsync(page, logger, configuration["MS_USERNAME"]!, configuration["MS_PASSWORD"]!, configuration["MODEUS_URL"]!);
+            await MicrosoftLoginHelper.LoginMicrosoftAsync(
                page,
                logger,
                configuration["MS_USERNAME"]!,
                configuration["MS_PASSWORD"]!,
                configuration["MODEUS_URL"]!,
                _totpGenerator is null ? null : () => _totpGenerator.Generate());
            var sessionStorageJson = await page.EvaluateAsync<string>("JSON.stringify(sessionStorage)");
@@ -128,6 +139,30 @@ public class MicrosoftAuthService(ILogger<MicrosoftAuthService> logger, IConfigu
            EnsureLock.Release();
        }
    }
    /// <summary>
    /// Создает генератор TOTP из переменной окружения, если она настроена.
    /// </summary>
    private static TotpGenerator? CreateTotpGenerator(IConfiguration configuration, ILogger logger)
    {
        var secret = configuration["MS_TOTP_SECRET"];
        if (string.IsNullOrWhiteSpace(secret))
        {
            logger.LogDebug("MS_TOTP_SECRET не задан, MFA по TOTP отключен.");
            return null;
        }
        try
        {
            logger.LogInformation("Инициализация генератора TOTP для Microsoft MFA.");
            return new TotpGenerator(secret);
        }
        catch (Exception ex)
        {
            logger.LogError(ex, "Не удалось инициализировать TOTP генератор. MFA не будет работать.");
            return null;
        }
    }
 }
 public class MicrosoftAuthInProgressException : Exception
--- a/src/Services/TotpGenerator.cs
+++ b/src/Services/TotpGenerator.cs
@@ -0,0 +1,118 @@
 using System.Security.Cryptography;
 using System.Text;
 namespace ModeusSchedule.MSAuth.Services;
 /// <summary>
 /// RFC 6238 compatible TOTP generator that accepts Base32 encoded secrets.
 /// </summary>
 public sealed class TotpGenerator
 {
    private static readonly DateTime Epoch = new(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc);
    private const int DefaultDigits = 6;
    private const string Base32Alphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567";
    private readonly byte[] _secret;
    private readonly int _digits;
    private readonly TimeSpan _step;
    /// <summary>
    /// Creates a TOTP generator instance.
    /// </summary>
    /// <param name="secret">Base32 encoded shared secret.</param>
    /// <param name="digits">Number of digits in the generated one-time password.</param>
    /// <param name="step">Time step (defaults to 30 seconds).</param>
    public TotpGenerator(string secret, int digits = DefaultDigits, TimeSpan? step = null)
    {
        if (string.IsNullOrWhiteSpace(secret))
            throw new ArgumentException("TOTP secret must be provided", nameof(secret));
        _secret = DecodeBase32(secret);
        if (_secret.Length == 0)
            throw new ArgumentException("TOTP secret could not be decoded", nameof(secret));
        _digits = digits;
        _step = step ?? TimeSpan.FromSeconds(30);
    }
    /// <summary>
    /// Generates a one-time password for the provided point in time (or now by default).
    /// </summary>
    /// <param name="timestamp">Optional timestamp to generate the code for.</param>
    public string Generate(DateTime? timestamp = null)
    {
        var counter = GetCurrentCounter(timestamp);
        var counterBytes = BitConverter.GetBytes(counter);
        if (BitConverter.IsLittleEndian)
            Array.Reverse(counterBytes);
        using var hmac = new HMACSHA1(_secret);
        var hash = hmac.ComputeHash(counterBytes);
        var offset = hash[^1] & 0x0F;
        var binaryCode = ((hash[offset] & 0x7F) << 24)
                         | ((hash[offset + 1] & 0xFF) << 16)
                         | ((hash[offset + 2] & 0xFF) << 8)
                         | (hash[offset + 3] & 0xFF);
        var otp = binaryCode % (int)Math.Pow(10, _digits);
        return otp.ToString("D" + _digits);
    }
    /// <summary>
    /// Returns the RFC 6238 time counter value for the supplied timestamp.
    /// </summary>
    private long GetCurrentCounter(DateTime? timestamp)
    {
        var effectiveTime = timestamp?.ToUniversalTime() ?? DateTime.UtcNow;
        var elapsed = effectiveTime - Epoch;
        return (long)(elapsed.TotalSeconds / _step.TotalSeconds);
    }
    /// <summary>
    /// Decodes a Base32 string into raw bytes.
    /// </summary>
    private static byte[] DecodeBase32(string input)
    {
        var sanitized = Sanitize(input);
        var bitBuffer = 0;
        var bitsInBuffer = 0;
        var output = new List<byte>(sanitized.Length * 5 / 8);
        foreach (var c in sanitized)
        {
            var value = Base32Alphabet.IndexOf(c);
            if (value < 0)
                throw new FormatException($"Symbol '{c}' is not valid for Base32");
            bitBuffer = (bitBuffer << 5) | value;
            bitsInBuffer += 5;
            if (bitsInBuffer >= 8)
            {
                bitsInBuffer -= 8;
                var byteValue = (byte)((bitBuffer >> bitsInBuffer) & 0xFF);
                output.Add(byteValue);
            }
        }
        return output.ToArray();
    }
    /// <summary>
    /// Normalizes secret formatting by removing padding and separators.
    /// </summary>
    private static string Sanitize(string input)
    {
        var builder = new StringBuilder(input.Length);
        foreach (var c in input)
        {
            if (c == '=' || c == ' ' || c == '-')
                continue;
            builder.Append(char.ToUpperInvariant(c));
        }
        return builder.ToString();
    }
 }
Author	SHA1	Message	Date
Sergey Karmanov	196b7d0ff4	feat: Добавил поддержку TOTP All checks were successful Create and publish a Docker image / Publish image (push) Successful in 6m31s Details	2025-11-26 15:04:25 +03:00
Sergey Karmanov	a42cb4bfdd	feat: добавил режим запуска headed режима All checks were successful Create and publish a Docker image / Publish image (push) Successful in 6m36s Details	2025-11-25 17:25:25 +03:00
Sergey Karmanov	5b906d6d07	docs: Обновил README All checks were successful Create and publish a Docker image / Publish image (push) Successful in 7s Details	2025-11-14 02:34:24 +03:00
Sergey Karmanov	8208e93711	ci: Добавил ci/cd All checks were successful Create and publish a Docker image / Publish image (push) Successful in 2m0s Details	2025-11-14 02:23:13 +03:00