Ревью серверной части — Этап 1: Security, Auth, Device Integration

Дата: 2026-06-02 Охват: App.php, Tools/DeviceAPI/Base.php, Models/Devices.php, Controllers/EventsController.php, Tools/RateLimiter.php, Sessions.php, Middleware/Entity.php, Entity-классы.

🔴 Критические

1. RateLimiter не работает в PHP-FPM/Apache (RateLimiter.php)

RateLimiter хранит $requests в static property процесса. При стандартном deployment (PHP-FPM, Apache mod_php) каждый HTTP-запуск — новый процесс, поэтому счётчик сбрасывается. Rate limit фактически отсутствует. Рекомендация: перенести на Redis / memcached / DB, или хотя бы на file-based storage.

2. /events/new не требует авторизации (Routes.php, EventsController.php)

check_api_auth() пропускает любой URI, не начинающийся с /api/v1/. /events/new — вне этого префикса, поэтому endpoint публичен. Любой может отправить события от имени любого устройства, зная его device_hard_id. Рекомендация: добавить device_token в заголовок Authorization и проверять его в EventsController::new_event перед by_hard_id, или перенести endpoint под /api/v1/ с auth guard.

3. Race condition в connect_new_device() (Models/Devices.php)

Нет atomic проверки статуса устройства. Два параллельных запроса могут одновременно увидеть "setup", создать две записи в devices+device_auth, и оба пройдут. Устройство перейдёт в normal mode, но в БД останутся дубли. Рекомендация: UNIQUE constraint на device_hard_id + status='active', или distributed lock через SELECT ... FOR UPDATE внутри транзакции.

4. Entity::update() unconditionally требует update_at (Middleware/Entity.php)

Entity::update() всегда inject-ит update_at в UPDATE SQL. DeviceAuth (таблица device_auth) не содержит update_at в $fields, и скорее всего нет и в production schema. Вызов DeviceAuth::kill() → update() вызовет SQL error. Рекомендация: добавить update_at TEXT в production schema device_auth, или сделать update_at опциональным в Entity (например, проверять in_array($this->field_name_of_update_at, static::$fields)).

🟡 Высокие

5. Post-commit remote state inconsistency в connect_new_device()

Транзакция commit-ится, а затем вызывается:

• $device->set_device_token($device_token) → remote_set_token на устройство
• $device->device_api()->set_device_name($name) → POST /set_device_name

Если устройство offline или не отвечает после commit, в БД устройство зарегистрировано, но физически оно не знает токен/имя. Управление невозможно. Рекомендация: либо делать remote setup до commit (и rollback при fail), либо иметь флаг setup_pending + background retry job.

6. DeviceAuth::kill() не инвалидирует кэш device_auth_instance

Device::auth() кэширует device_auth_instance. После $device_auth->kill() статус меняется на "killed", но кэш в $device->device_auth_instance остаётся со старым статусом "active". Последующие вызовы $device->auth()->is_active() вернут true. Рекомендация: сбрасывать $device->device_auth_instance = null в DeviceAuth::kill() или в Device::set_device_token().

7. EventsController::new_event — device_id приходит извне без подписи

Устройство доказывает свою идентичность только через device_hard_id, который передаётся в POST body. Нет HMAC, timestamp, nonce. Replay attack возможен. Рекомендация: добавить Authorization: Bearer <device_token> (см. пункт 2) и/или подпись полезной нагрузки.

🟢 Средние

8. generate_token(16) — низкая энтропия

16 hex-символов = 64 бита. Для устройственных токенов в локальной сети это терпимо, но на грани. Рекомендация: поднять до 32 (128 бит) для device_token.

9. Base::request() — нет валидации $ip_address

http:// + произвольная строка. Если $ip_address содержит path (192.168.1.1/path), SSRF возможен. Контролируется server-side, но всё же. Рекомендация: валидировать filter_var($ip_address, FILTER_VALIDATE_IP) в конструкторе.

10. Entity::update() — тихий success при SQL error?

Entity::update() вызывает $this->thin_builder()->update(...) и не проверяет return value. ThinBuilder::update возвращает Statement или null? Возможно, exception вылетит (PDO ERRMODE_EXCEPTION), но если нет — тихий fail. Рекомендация: явно проверять результат thin_builder()->update() и возвращать false при ошибке.

11. Sessions::get_current_session() — лишний UPDATE на каждый запрос

Обновление last_using_at при каждом вызове создаёт write load. Для домашнего сервера не критично, но при масштабе заметно. Рекомендация: обновлять раз в N минут (например, если delta > 60s).

12. EventsController — set_time_limit(10) может обрезать handlers

Если channel_alias_device_event_call и последующие вызовы занимают >10s — fatal. Это фоновая обработка после flush. Рекомендация: set_time_limit(0) или background queue (cron / worker).

13. check_api_auth() — Bearer token parsing

substr($auth_header, 7) без проверки длины. Header "Bearer" (без пробела) даст пустой token, который пройдёт в !$token → 401. Не критично, но стоит использовать str_starts_with + explode(' ', $auth_header, 2)[1] ?? null.

✅ Что сделано хорошо

• Auth guard разделён на check_api_auth() (чистая логика) и api_auth_guard() (side-effects). Это позволяет тестировать без exit.
• Cookie security flags — httponly, secure, samesite=Strict.
• Retry/backoff в DeviceAPI\Base — exponential backoff, clear separation через executeCurl/getCurlInfo.
• Транзакции в connect_new_device — rollback при ошибке.
• PDO prepared statements в ThinBuilder — SQL injection минимизирован.

📋 Action Items (итог)