Implementar control y rastreo de inicio de sesiones

[pavel-kalmykov]

Descripción

En #16 surgió la siguiente idea:

También necesitaremos proporcionar un sistema de detección de intentos (tanto exitosos como fallidos) de inicio de sesión. De esta forma, antes de iniciar sesión, comprobaremos que, si han habido n intentos de sesión fallidos en los últimos m minutos, el usuario no podrá iniciar sesión, ni aunque disponga de los credenciales válidos hasta pasados dichos minutos, por ejemplo.

Proponemos que, cada vez que se intente iniciar sesión, se almacene en la BD un nuevo registro de intento de inicio de sesión, el cual tendría el siguiente esquema: Además, se usarán estos datos para, una vez iniciado o no sesión, se comprueben estos registros y, si procede, enviar un correo al dueño de la cuenta informando de la actividad.

Condiciones de satifacción

• [x] Realizar la migración, crear el modelo e implementar el DAO pertinente a la nueva tabla de intentos de inicio de sesión.
• [x] Implementar un servicio que inserte el intento de inicio de sesión y después llame al procedimiento del envío del correo que se describe a continuación.
• [x] Implementar el servicio de envío por correo del reporte de actividad sospechosa en cuando a inicios de sesión según los datos existentes en la BD. Los casos posibles son:
  • [x] Si los n últimos registros han sido intentos fallidos, enviar un correo con la última fecha e IP del último intento (procesando la plataforma desde el User-Agent y la localización desde la IP).
  • [x] Además, si la diferencia entre el primero y el último es de menos de m minutos, no permitir el inicio de sesión (aun teniendo las claves bien).
  • [x] Si ha habido un intento exitoso pero este proviene de una IP todavía no existente en los registros, enviar un correo indicando lo mismo que antes pero avisando de que ha habido un nuevo dispositivo registrado.

Referencias

• Parseador de cabeceras User-Agent
• Geolocalizador de IPs con base de datos de prueba

[pavel-kalmykov]

Desarrollando en control-logins

[pavel-kalmykov]

Importante: se ha cambiado la estructura de directorios para tener nuestro propio código fuera de la carpeta github.com/paveltrufi, y así poder usar el .gitignore de forma correcta además de facilitar la navegación por los directorios.

[pavel-kalmykov]

Dado que en esta tabla solamente deberían de hacerse inserciones y consultas, sólo implementaremos dichas operaciones en el DAO.

[pavel-kalmykov]

Me he dado cuenta de que, en la tabla de ficheros, definida en #6, no existe ninguna clave primaria, pues al hacer la migración no se le puso PRIMARY KEY al BIGSERIAL. Lo añadimos ahora.