feat: add login rate limiting

simonwep · simonwep · commit 4d6d34bdc725 · 2026-02-09T18:02:47.000+01:00
fixate genesis version
diff --git a/.env.genesis b/.env.genesis
@@ -12,3 +12,5 @@ GENESIS_DATA_MAX_SIZE=512
 GENESIS_KEYS_PER_USER=3
 GENESIS_GIN_MODE=test
 GENESIS_LOG_MODE=development
+GENESIS_LOGIN_MAX_ATTEMPTS=5
+GENESIS_LOGIN_LOCKOUT_DURATIONS=3s,15s,1m,5m,10m,15m
diff --git a/.github/workflows/main.yml b/.github/workflows/main.yml
@@ -48,7 +48,7 @@ jobs:
       - name: Start genesis and ocular
         run: |
           docker pull ghcr.io/simonwep/genesis:latest
-          docker run -p 8080:8080 -v "./.data:/app/.data" --env-file .env.genesis ghcr.io/simonwep/genesis:latest start &
+          docker run -p 8080:8080 -v "./.data:/app/.data" --env-file .env.genesis ghcr.io/simonwep/genesis:v1.5.0 start &
           pnpm vite preview &
 
       - name: Wait for genesis to be healthy
diff --git a/docker/Dockerfile b/docker/Dockerfile
@@ -1,4 +1,4 @@
-FROM ghcr.io/simonwep/genesis:v1.4.2 AS genesis
+FROM ghcr.io/simonwep/genesis:v1.5.0 AS genesis
 
 FROM --platform=$BUILDPLATFORM node:24-alpine AS frontend
 
@@ -43,6 +43,8 @@ ENV GENESIS_USERNAME_PATTERN='^[\w]{0,32}$'
 ENV GENESIS_KEY_PATTERN='^[\w]{0,32}$'
 ENV GENESIS_DATA_MAX_SIZE='512'
 ENV GENESIS_KEYS_PER_USER='2'
+ENV GENESIS_LOGIN_MAX_ATTEMPTS='5'
+ENV GENESIS_LOGIN_LOCKOUT_DURATIONS='1m,5m,15m,30m,1h'
 
 COPY --from=genesis /app/genesis /usr/local/bin/genesis
 COPY --from=frontend /app/dist /usr/share/caddy
diff --git a/package.json b/package.json
@@ -12,7 +12,7 @@
   "scripts": {
     "dev": "pnpm run \"/^dev:.+/\"",
     "dev:frontend": "vite --host",
-    "dev:backend": "docker run --pull always -p 8080:8080 -v \"./.data:/app/.data\" --env-file .env.genesis ghcr.io/simonwep/genesis:latest start",
+    "dev:backend": "docker run --pull always -p 8080:8080 -v \"./.data:/app/.data\" --env-file .env.genesis ghcr.io/simonwep/genesis:v1.5.0 start",
     "build": "vue-tsc --noEmit && vite build",
     "preview": "vite preview",
     "lint": "eslint \"**/*.{js,mjs,ts,mts,vue}\" --cache",
diff --git a/src/app/pages/navigation/admin/manage-users/ManageUsersModal.vue b/src/app/pages/navigation/admin/manage-users/ManageUsersModal.vue
@@ -60,9 +60,17 @@ const removeUser = async (user: GenesisUser) => {
   }
 };
 
-const fetchUsers = async () => (users.value = await getAllUsers());
+const fetchUsers = async () => (users.value = (await getAllUsers()).data ?? []);
 
-watch([user, toRef(props, 'open')], ([user]) => user?.admin && void fetchUsers(), { immediate: true });
+watch(
+  [user, toRef(props, 'open')],
+  ([user]) => {
+    if (user?.admin) {
+      fetchUsers();
+    }
+  },
+  { immediate: true }
+);
 </script>
 
 <style lang="scss" module>
diff --git a/src/app/pages/navigation/auth/LoginDialog.vue b/src/app/pages/navigation/auth/LoginDialog.vue
@@ -8,10 +8,11 @@
     @close="emit('close')"
   >
     <Form
+      :disabled="!!retryDuration"
       :maxWidth="INSECURE_CONNECTION ? 350 : undefined"
       :submitIcon="RiLoginCircleLine"
       :submitLabel="t('navigation.auth.signIn')"
-      @submit="signIn"
+      @submit="executeImmediate(username, password)"
     >
       <Alert v-if="INSECURE_CONNECTION" :text="t('navigation.auth.loginNotAvailableDueToHttp')" type="warning" />
 
@@ -31,7 +32,24 @@
         type="password"
         name="password"
       />
-      <Alert v-if="state === 'errored'" testId="login-failed" :text="t('navigation.auth.loginFailed')" type="error" />
+
+      <template v-if="state?.error?.status === 429">
+        <Alert
+          v-if="retryDuration"
+          testId="login-too-many-attempts"
+          :text="t('navigation.auth.tooManyFailedAttempts', { duration: retryDuration })"
+          type="error"
+        />
+      </template>
+
+      <Alert
+        v-else-if="state?.error?.status === 401"
+        testId="login-invalid-credentials"
+        :text="t('navigation.auth.incorrectUsernameOrPassword')"
+        type="error"
+      />
+
+      <Alert v-else-if="state?.error" :text="state?.error.message" type="error" />
     </Form>
   </Dialog>
 </template>
@@ -43,9 +61,11 @@ import Form from '@components/base/form/Form.vue';
 import TextField from '@components/base/text-field/TextField.vue';
 import { useStorage } from '@store/storage/useStorage.ts';
 import { RiLoginCircleLine } from '@remixicon/vue';
-import { ref } from 'vue';
+import { useAsyncState, useTimestamp } from '@vueuse/core';
+import { computed, ref, watch } from 'vue';
 import { useI18n } from 'vue-i18n';
 
+const { OCULAR_TEST_USERNAME, OCULAR_TEST_PASSWORD } = import.meta.env;
 const INSECURE_CONNECTION = window.location.protocol === 'http:' && !import.meta.env.OCULAR_HYBRID_MODE;
 
 const emit = defineEmits<{
@@ -57,25 +77,57 @@ defineProps<{
   lockDialog?: boolean;
 }>();
 
-const { t } = useI18n();
+const time = useTimestamp();
+const { t, locale } = useI18n();
 const { login } = useStorage();
+const { state, executeImmediate } = useAsyncState(login, undefined, {
+  immediate: false
+});
+
+const username = ref(OCULAR_TEST_USERNAME);
+const password = ref(OCULAR_TEST_PASSWORD);
+
+const relativeTimeFormatter = computed(() => new Intl.RelativeTimeFormat(locale.value, { numeric: 'auto' }));
+
+const retryTimeLeft = computed(() => {
+  const { status, retry_after, retry_timestamp } = state.value?.error ?? {
+    retry_after: undefined,
+    retry_timestamp: undefined
+  };
+
+  if (status !== 429 || typeof retry_after !== 'number' || typeof retry_timestamp !== 'number') {
+    return;
+  }
+
+  return retry_after - Math.floor(time.value / 1000 - retry_timestamp);
+});
+
+const retryDuration = computed(() => {
+  if (!retryTimeLeft.value) return;
+
+  if (retryTimeLeft.value < 1) {
+    return undefined;
+  }
+
+  if (retryTimeLeft.value < 60) {
+    return relativeTimeFormatter.value.format(Math.ceil(retryTimeLeft.value), 'second');
+  }
+
+  const minutes = Math.ceil(retryTimeLeft.value / 60);
+  return relativeTimeFormatter.value.format(minutes, 'minute');
+});
+
+watch(retryTimeLeft, (duration) => {
+  if (duration && duration < 1) {
+    state.value = undefined;
+  }
+});
 
-const username = ref(import.meta.env.OCULAR_TEST_USERNAME ?? '');
-const password = ref(import.meta.env.OCULAR_TEST_PASSWORD ?? '');
-const state = ref<'idle' | 'loading' | 'errored'>('idle');
-
-const signIn = async () => {
-  if (state.value !== 'loading') {
-    state.value = 'loading';
-
-    if (await login(username.value, password.value)) {
-      username.value = '';
-      password.value = '';
-      state.value = 'idle';
-      emit('close');
-    } else {
-      state.value = 'errored';
-    }
+watch(state, (response) => {
+  if (response?.data) {
+    username.value = '';
+    password.value = '';
+    emit('close');
   }
-};
+});
 </script>
diff --git a/src/composables/time/useTime.ts b/src/composables/time/useTime.ts
@@ -8,6 +8,7 @@ export const useTime = createGlobalState(() => {
 
   return {
     year: computed(() => date.value.getFullYear()),
-    month: computed(() => date.value.getMonth())
+    month: computed(() => date.value.getMonth()),
+    timestamp
   };
 });
diff --git a/src/i18n/locales/cze.json b/src/i18n/locales/cze.json
@@ -72,9 +72,11 @@
       "signIn": "Přihlašte se",
       "username": "Uživatelské jméno",
       "password": "Heslo",
-      "loginFailed": "Přihlášení se nezdařilo. Uživatelské jméno a/nebo heslo je neplatné.",
       "loginNotAvailable": "Přihlášení není dostupné, backend není nakonfigurován.",
-      "loginNotAvailableDueToHttp": "Přihlášení nemusí fungovat, pokud je stránka načtena přes HTTP. Ujistěte se, že v souboru .env nastavíte GENESIS_JWT_COOKIE_ALLOW_HTTP na true, nebo raději používejte HTTPS pro přístup k aplikaci."
+      "loginNotAvailableDueToHttp": "Přihlášení nemusí fungovat, pokud je stránka načtena přes HTTP. Ujistěte se, že v souboru .env nastavíte GENESIS_JWT_COOKIE_ALLOW_HTTP na true, nebo raději používejte HTTPS pro přístup k aplikaci.",
+      "incorrectUsernameOrPassword": "Přihlášení se nezdařilo, uživatelské jméno a/nebo heslo jsou neplatné.",
+      "tooManyFailedAttempts": "Příliš mnoho neúspěšných pokusů o přihlášení, zopakujte za {duration}.",
+      "unknownError": "Něco se pokazilo, zkuste to prosím později. (Chyba: {error})"
     },
     "admin": {
       "settings": "Nastavení správce",
diff --git a/src/i18n/locales/de.json b/src/i18n/locales/de.json
@@ -72,9 +72,11 @@
       "signIn": "Anmelden",
       "username": "Benutzername",
       "password": "Passwort",
-      "loginFailed": "Anmeldung fehlgeschlagen, Benutzername und/oder Passwort ungültig.",
       "loginNotAvailable": "Login nicht verfügbar, Backend nicht konfiguriert.",
-      "loginNotAvailableDueToHttp": "Die Anmeldung funktioniert möglicherweise nicht, wenn die Seite über HTTP aufgerufen wird. Stellen Sie sicher, dass Sie in Ihrer .env-Datei GENESIS_JWT_COOKIE_ALLOW_HTTP auf true setzen, oder noch besser – verwenden Sie HTTPS, um auf die Anwendung zuzugreifen."
+      "loginNotAvailableDueToHttp": "Die Anmeldung funktioniert möglicherweise nicht, wenn die Seite über HTTP aufgerufen wird. Stellen Sie sicher, dass Sie in Ihrer .env-Datei GENESIS_JWT_COOKIE_ALLOW_HTTP auf true setzen, oder noch besser – verwenden Sie HTTPS, um auf die Anwendung zuzugreifen.",
+      "incorrectUsernameOrPassword": "Anmeldung fehlgeschlagen, Benutzername und/oder Passwort ungültig.",
+      "tooManyFailedAttempts": "Zu viele fehlgeschlagene Anmeldeversuche, bitte versuchen Sie es in {duration} erneut.",
+      "unknownError": "Etwas ist schiefgelaufen, bitte versuchen Sie es später noch einmal. (Fehler: {error})"
     },
     "admin": {
       "settings": "Admin-Einstellungen",
diff --git a/src/i18n/locales/en.json b/src/i18n/locales/en.json
@@ -72,9 +72,11 @@
       "signIn": "Sign in",
       "username": "Username",
       "password": "Password",
-      "loginFailed": "Login failed, username and/or password invalid.",
       "loginNotAvailable": "Login not available, backend not configured.",
-      "loginNotAvailableDueToHttp": "Login might not work if the page is accessed via HTTP. Make sure to set GENESIS_JWT_COOKIE_ALLOW_HTTP to true in your .env file or, better yet, use HTTPS to access the application."
+      "loginNotAvailableDueToHttp": "Login might not work if the page is accessed via HTTP. Make sure to set GENESIS_JWT_COOKIE_ALLOW_HTTP to true in your .env file or, better yet, use HTTPS to access the application.",
+      "incorrectUsernameOrPassword": "Login failed, username and/or password invalid.",
+      "tooManyFailedAttempts": "Too many failed login attempts, retry {duration}.",
+      "unknownError": "Something went wrong, please try again later. (Error: {error})"
     },
     "admin": {
       "settings": "Admin settings",
diff --git a/src/i18n/locales/es.json b/src/i18n/locales/es.json
@@ -72,9 +72,11 @@
       "signIn": "Iniciar sesión",
       "username": "Usuario",
       "password": "Contraseña",
-      "loginFailed": "Error al iniciar sesión, usuario y/o contraseña inválidos.",
       "loginNotAvailable": "Inicio de sesión no disponible, el backend no está configurado.",
-      "loginNotAvailableDueToHttp": "El inicio de sesión puede no funcionar si la página se accede mediante HTTP. Asegúrate de establecer GENESIS_JWT_COOKIE_ALLOW_HTTP en true en tu archivo .env o, mejor aún, utiliza HTTPS para acceder a la aplicación."
+      "loginNotAvailableDueToHttp": "El inicio de sesión puede no funcionar si la página se accede mediante HTTP. Asegúrate de establecer GENESIS_JWT_COOKIE_ALLOW_HTTP en true en tu archivo .env o, mejor aún, utiliza HTTPS para acceder a la aplicación.",
+      "incorrectUsernameOrPassword": "Error de inicio de sesión, nombre de usuario y/o contraseña inválidos.",
+      "tooManyFailedAttempts": "Demasiados intentos fallidos de inicio de sesión, inténtalo de nuevo en {duration}.",
+      "unknownError": "Algo salió mal, por favor inténtalo de nuevo más tarde. (Error: {error})"
     },
     "admin": {
       "settings": "Configuraciones de administrador",
diff --git a/src/i18n/locales/fr.json b/src/i18n/locales/fr.json
@@ -72,9 +72,11 @@
       "signIn": "Se connecter",
       "username": "Nom d'utilisateur",
       "password": "Mot de passe",
-      "loginFailed": "Échec de la connexion, nom d'utilisateur et/ou mot de passe invalide.",
       "loginNotAvailable": "Connexion non disponible, le backend n'est pas configuré.",
-      "loginNotAvailableDueToHttp": "La connexion peut ne pas fonctionner si la page est accessible via HTTP. Assurez-vous de définir GENESIS_JWT_COOKIE_ALLOW_HTTP sur true dans votre fichier .env ou, mieux, utilisez HTTPS pour accéder à l'application."
+      "loginNotAvailableDueToHttp": "La connexion peut ne pas fonctionner si la page est accessible via HTTP. Assurez-vous de définir GENESIS_JWT_COOKIE_ALLOW_HTTP sur true dans votre fichier .env ou, mieux, utilisez HTTPS pour accéder à l'application.",
+      "incorrectUsernameOrPassword": "Échec de la connexion, nom d'utilisateur et/ou mot de passe invalide.",
+      "tooManyFailedAttempts": "Trop de tentatives de connexion échouées, réessayez dans {duration}.",
+      "unknownError": "Une erreur est survenue, veuillez réessayer plus tard. (Erreur : {error})"
     },
     "admin": {
       "settings": "Paramètres administrateur",
diff --git a/src/i18n/locales/hu.json b/src/i18n/locales/hu.json
@@ -72,9 +72,11 @@
       "signIn": "Bejelentkezés",
       "username": "Felhasználónév",
       "password": "Jelszó",
-      "loginFailed": "A bejelentkezés sikertelen, a felhasználónév és/vagy a jelszó helytelen.",
       "loginNotAvailable": "A bejelentkezés jelenleg nem elérhető.",
-      "loginNotAvailableDueToHttp": "A bejelentkezés előfordulhat, hogy nem működik, ha az oldal HTTP-n keresztül érhető el. Győződjön meg róla, hogy a .env fájlban a GENESIS_JWT_COOKIE_ALLOW_HTTP értékét true-ra állítja, vagy még jobb, használjon HTTPS-t az alkalmazás eléréséhez."
+      "loginNotAvailableDueToHttp": "A bejelentkezés előfordulhat, hogy nem működik, ha az oldal HTTP-n keresztül érhető el. Győződjön meg róla, hogy a .env fájlban a GENESIS_JWT_COOKIE_ALLOW_HTTP értékét true-ra állítja, vagy még jobb, használjon HTTPS-t az alkalmazás eléréséhez.",
+      "incorrectUsernameOrPassword": "Bejelentkezés sikertelen, a felhasználónév és/vagy a jelszó érvénytelen.",
+      "tooManyFailedAttempts": "Túl sok sikertelen bejelentkezési kísérlet, próbáld újra {duration} múlva.",
+      "unknownError": "Valami elromlott, kérjük próbáld meg később. (Hiba: {error})"
     },
     "admin": {
       "settings": "Admin beállítások",
diff --git a/src/i18n/locales/id.json b/src/i18n/locales/id.json
@@ -72,9 +72,11 @@
       "signIn": "Masuk",
       "username": "Nama pengguna",
       "password": "Kata sandi",
-      "loginFailed": "Gagal masuk, nama pengguna dan/atau kata sandi tidak valid",
       "loginNotAvailable": "Login tidak tersedia, backend belum dikonfigurasi.",
-      "loginNotAvailableDueToHttp": "Login mungkin tidak berfungsi jika halaman diakses melalui HTTP. Pastikan untuk mengatur GENESIS_JWT_COOKIE_ALLOW_HTTP ke true di file .env Anda atau lebih baik gunakan HTTPS untuk mengakses aplikasi."
+      "loginNotAvailableDueToHttp": "Login mungkin tidak berfungsi jika halaman diakses melalui HTTP. Pastikan untuk mengatur GENESIS_JWT_COOKIE_ALLOW_HTTP ke true di file .env Anda atau lebih baik gunakan HTTPS untuk mengakses aplikasi.",
+      "incorrectUsernameOrPassword": "Login gagal, nama pengguna dan/atau kata sandi tidak valid.",
+      "tooManyFailedAttempts": "Terlalu banyak percobaan login yang gagal, coba lagi {duration}.",
+      "unknownError": "Ada yang salah, silakan coba lagi nanti. (Kesalahan: {error})"
     },
     "admin": {
       "settings": "Pengaturan admin",
diff --git a/src/i18n/locales/it.json b/src/i18n/locales/it.json
@@ -72,9 +72,11 @@
       "signIn": "Accedi",
       "username": "Username",
       "password": "Password",
-      "loginFailed": "Accesso fallito, username e/o password errati.",
       "loginNotAvailable": "Accesso non disponibile, il backend non è configurato.",
-      "loginNotAvailableDueToHttp": "Il login potrebbe non funzionare se la pagina viene caricata tramite HTTP. Assicurati di impostare GENESIS_JWT_COOKIE_ALLOW_HTTP su true nel tuo file .env oppure, meglio ancora, usa HTTPS per accedere all'applicazione."
+      "loginNotAvailableDueToHttp": "Il login potrebbe non funzionare se la pagina viene caricata tramite HTTP. Assicurati di impostare GENESIS_JWT_COOKIE_ALLOW_HTTP su true nel tuo file .env oppure, meglio ancora, usa HTTPS per accedere all'applicazione.",
+      "incorrectUsernameOrPassword": "Accesso non riuscito, nome utente e/o password non validi.",
+      "tooManyFailedAttempts": "Troppi tentativi di accesso falliti, riprova tra {duration}.",
+      "unknownError": "Si è verificato un errore, riprova più tardi. (Errore: {error})"
     },
     "admin": {
       "settings": "Impostazioni dell'amministratore",
diff --git a/src/i18n/locales/pl.json b/src/i18n/locales/pl.json
@@ -72,9 +72,11 @@
       "signIn": "Zaloguj się",
       "username": "Nazwa użytkownika",
       "password": "Hasło",
-      "loginFailed": "Logowanie nie powiodło się, nazwa użytkownika i/lub hasło są nieprawidłowe.",
       "loginNotAvailable": "Logowanie niedostępne, backend nie jest skonfigurowany.",
-      "loginNotAvailableDueToHttp": "Logowanie może nie działać, jeśli strona jest dostępna przez HTTP. Upewnij się, że w pliku .env ustawisz GENESIS_JWT_COOKIE_ALLOW_HTTP na true, lub lepiej — użyj HTTPS, aby uzyskać dostęp do aplikacji."
+      "loginNotAvailableDueToHttp": "Logowanie może nie działać, jeśli strona jest dostępna przez HTTP. Upewnij się, że w pliku .env ustawisz GENESIS_JWT_COOKIE_ALLOW_HTTP na true, lub lepiej — użyj HTTPS, aby uzyskać dostęp do aplikacji.",
+      "incorrectUsernameOrPassword": "Logowanie nie powiodło się, nazwa użytkownika i/lub hasło są nieprawidłowe.",
+      "tooManyFailedAttempts": "Zbyt wiele nieudanych prób logowania, spróbuj ponownie za {duration}.",
+      "unknownError": "Coś poszło nie tak, spróbuj ponownie później. (Błąd: {error})"
     },
     "admin": {
       "settings": "Ustawienia administratora",
diff --git a/src/i18n/locales/pt-br.json b/src/i18n/locales/pt-br.json
@@ -72,9 +72,11 @@
       "signIn": "Logar",
       "username": "Usuário",
       "password": "Senha",
-      "loginFailed": "Falha ao logar, usuário e/ou senha inválidos.",
       "loginNotAvailable": "Login não disponível, o backend não está configurado.",
-      "loginNotAvailableDueToHttp": "O login pode não funcionar se a página for acessada via HTTP. Certifique-se de definir GENESIS_JWT_COOKIE_ALLOW_HTTP como true no seu arquivo .env ou, melhor ainda, use HTTPS para acessar o aplicativo."
+      "loginNotAvailableDueToHttp": "O login pode não funcionar se a página for acessada via HTTP. Certifique-se de definir GENESIS_JWT_COOKIE_ALLOW_HTTP como true no seu arquivo .env ou, melhor ainda, use HTTPS para acessar o aplicativo.",
+      "incorrectUsernameOrPassword": "Falha no login, nome de usuário e/ou senha inválidos.",
+      "tooManyFailedAttempts": "Muitas tentativas de login falharam, tente novamente em {duration}.",
+      "unknownError": "Algo deu errado, por favor tente novamente mais tarde. (Erro: {error})"
     },
     "admin": {
       "settings": "Configurações de Administrador",
diff --git a/src/i18n/locales/ru.json b/src/i18n/locales/ru.json
@@ -72,9 +72,11 @@
       "signIn": "Войти",
       "username": "Имя пользователя",
       "password": "Пароль",
-      "loginFailed": "Вход не выполнен, имя пользователя и/или пароль неверные.",
       "loginNotAvailable": "Вход недоступен, бэкенд не настроен.",
-      "loginNotAvailableDueToHttp": "Вход может не работать, если страница открыта по HTTP. Убедитесь, что в файле .env вы установили GENESIS_JWT_COOKIE_ALLOW_HTTP в true, или, что ещё лучше, используйте HTTPS для доступа к приложению."
+      "loginNotAvailableDueToHttp": "Вход может не работать, если страница открыта по HTTP. Убедитесь, что в файле .env вы установили GENESIS_JWT_COOKIE_ALLOW_HTTP в true, или, что ещё лучше, используйте HTTPS для доступа к приложению.",
+      "incorrectUsernameOrPassword": "Вход не выполнен, неверное имя пользователя и/или пароль.",
+      "tooManyFailedAttempts": "Слишком много неудачных попыток входа, повторите через {duration}.",
+      "unknownError": "Что-то пошло не так, попробуйте позже. (Ошибка: {error})"
     },
     "admin": {
       "settings": "Настройки",
diff --git a/src/i18n/locales/tr.json b/src/i18n/locales/tr.json
diff --git a/src/store/genesis/genesis.sdk.ts b/src/store/genesis/genesis.sdk.ts
diff --git a/src/store/storage/createStorage.ts b/src/store/storage/createStorage.ts
diff --git a/test/auth.spec.ts b/test/auth.spec.ts
