/ - Diff - projekt kivitendo - wissen

« Zurück | Weiter »

Revision 8b4dd266

Von Moritz Bunkus vor mehr als 2 Jahren hinzugefügt

ID 8b4dd266547b401f2ca79790a41e557a169094b8
Vorgänger 55962438
Nachfolger 420d3963

proof of concept: Formular-Gültigkeit beim Buchen von Verkaufsrechnungen

Ziel: verhindern, dass eine noch nicht gebuchte Rechnung durch
Verwendung des »Zurück«-Buttons im Browser mehrfach gebucht werden
kann.

Implementation: Beim Neuanlegen einer Rechnung wird ein einmaliges
Gültigkeitstoken mit einem Scope (»Verkaufsrechnung buchen«)
erzeugt. Dieses hat eine Laufzeit von 24h. Es wird als Hidden-Variable
im Formular mitgeschleift, sofern noch keine Datenbank-ID existiert,
die Rechnung also noch nicht gebucht wurde.

Wird die Rechnung gebucht, so wird zuerst überprüft, ob das vom
Browser mitgeschickte Token noch gültig ist:

1. ob es das Token mit demselben Scope in der Datenbank noch gibt
2. ob das Ablaufdatum des Tokens noch nicht erreicht ist

Falls ja, wird die Rechnung gebucht und das Token aus der Datenbank
und dem Formular entfernt. Es ist somit entwertet und kann nicht
erneut zum Buchen verwendet werden, da es bei der Prüfung oben Punkt 1
verletzt.

Falls nein, wird hingegen eine Fehlermeldung angezeigt, dass das
Formular nicht mehr gültig ist. Das kann man auch durch Verwenden von
Funktionen wie »Erneuern« nicht umgehen: das Fomular mit der
ungebuchten Rechnung ist jetzt »tot«.

     package SL::BackgroundJob::ValidityTokenCleanup;
     use strict;
     use parent qw(SL::BackgroundJob::Base);
     use SL::DB::ValidityToken;
     sub create_job {
       $_[0]->create_standard_job('0 3 * * *'); # daily
+    }
     sub run {
       SL::DB::Manager::ValidityToken->cleanup;
       return 1;
+    }
 ;
     __END__
     =encoding utf8
     =head1 NAME
     SL::BackgroundJob::ValidityTokenCleanup - Background job for
     deleting all expired validity tokens
     =cut

SL/DB/Helper/ALL.pm
148	148	use SL::DB::UnitsLanguage;
149	149	use SL::DB::UserPreference;
150	150	use SL::DB::VC;
	151	use SL::DB::ValidityToken;
151	152	use SL::DB::Vendor;
152	153	use SL::DB::Warehouse;
153	154

SL/DB/Helper/Mappings.pm
226	226	units => 'unit',
227	227	units_language => 'units_language',
228	228	user_preferences => 'user_preference',
	229	validity_tokens => 'ValidityToken',
229	230	vendor => 'vendor',
230	231	warehouse => 'warehouse',
231	232	);

     package SL::DB::Manager::ValidityToken;
     use strict;
     use parent qw(SL::DB::Helper::Manager);
     sub object_class { 'SL::DB::ValidityToken' }
     use Carp;
     __PACKAGE__->make_manager_methods;
     sub cleanup {
       my ($class) = @_;
       $class->delete_all(where => [ valid_until => { lt => DateTime->now_local }]);
+    }
     sub fetch_valid_token {
       my ($class, %params) = @_;
       croak "missing required parameter 'scope'" if !$params{scope};
       return undef if !$params{token};
       my $token_obj = $class->get_first(
         where => [
           scope       => $params{scope},
           token       => $params{token},
           valid_until => { ge => DateTime->now_local },
         ]);
       return $token_obj;
+    }
 ;

     # This file has been auto-generated. Do not modify it; it will be overwritten
     # by rose_auto_create_model.pl automatically.
     package SL::DB::ValidityToken;
     use strict;
     use parent qw(SL::DB::Object);
     __PACKAGE__->meta->table('validity_tokens');
     __PACKAGE__->meta->columns(
       id          => { type => 'serial', not_null => 1 },
       itime       => { type => 'timestamp', default => 'now()', not_null => 1 },
       scope       => { type => 'text', not_null => 1 },
       token       => { type => 'text', not_null => 1 },
       valid_until => { type => 'timestamp', not_null => 1 },
     );
     __PACKAGE__->meta->primary_key_columns([ 'id' ]);
     __PACKAGE__->meta->unique_keys([ 'scope', 'token' ]);
     __PACKAGE__->meta->allow_inline_column_values(1);
 ;
+    ;

     package SL::DB::ValidityToken;
     use strict;
     use Carp;
     use Digest::SHA qw(sha256_hex);
     use Time::HiRes qw(gettimeofday);
     use SL::DB::MetaSetup::ValidityToken;
     use SL::DB::Manager::ValidityToken;
     __PACKAGE__->meta->initialize;
     use constant SCOPE_SALES_INVOICE_POST => 'SalesInvoice::Post';
     sub create {
       my ($class, %params) = @_;
       croak "missing required parameter 'scope'" if !$params{scope};
       my $token_obj = $class->new(
         scope       => $params{scope},
         valid_until => $params{valid_until} // DateTime->now_local->add(hours => 24),
       );
       while (1) {
         my $token_value = join('-', gettimeofday(), $$, int(rand(1 << 63)));
         $token_obj->token(sha256_hex($token_value));
         last if eval {
           $token_obj->save;
 ;
         };
+      }
       return $token_obj;
+    }
 ;

     use SL::DB::Department;
     use SL::DB::Invoice;
     use SL::DB::PaymentTerm;
     use SL::DB::ValidityToken;
     require "bin/mozilla/common.pl";
     require "bin/mozilla/io.pl";
-...
+      }
       if (!$form->{form_validity_token}) {
         $form->{form_validity_token} = SL::DB::ValidityToken->create(scope => SL::DB::ValidityToken::SCOPE_SALES_INVOICE_POST())->token;
+      }
       $form->{callback} = "$form->{script}?action=add&type=$form->{type}" unless $form->{callback};
-...
       $main::auth->assert('invoice_edit');
       $form->mtime_ischanged('ar');
       my $validity_token;
       if (!$form->{id}) {
         $validity_token = SL::DB::Manager::ValidityToken->fetch_valid_token(
           scope => SL::DB::ValidityToken::SCOPE_SALES_INVOICE_POST(),
           token => $form->{form_validity_token},
         );
         $form->error($::locale->text('The form is not valid anymore.')) if !$validity_token;
+      }
       $form->{defaultcurrency} = $form->get_default_currency(\%myconfig);
       $form->isblank("invdate",  $locale->text('Invoice Date missing!'));
       $form->isblank("customer_id", $locale->text('Customer missing!'));
-...
+        }
+      }
       $validity_token->delete if $validity_token;
       delete $form->{form_validity_token};
       if(!exists $form->{addition}) {
         $form->{snumbers}  =  'invnumber' .'_'. $form->{invnumber}; # ($form->{type} eq 'credit_note' ? 'cnnumber' : 'invnumber') .'_'. $form->{invnumber};
         $form->{what_done} = 'invoice';

locale/de/all
3641	3641	'The following transactions are concerned:' => 'Die folgenden Buchungen sind betroffen:',
3642	3642	'The following users are a member of this group' => 'Die folgenden Benutzer sind Mitglieder dieser Gruppe',
3643	3643	'The following users will have access to this client' => 'Die folgenden Benutzer werden auf diesen Mandanten Zugriff haben',
	3644	'The form is not valid anymore.' => 'Das Formular ist nicht mehr gültig.',
3644	3645	'The formula needs the following syntax:<br>For regular article:<br>Variablename= Variable Unit;<br>Variablename2= Variable2 Unit2;<br>...<br>###<br>Variable + ( Variable2 / Variable )<br><b>Please be beware of the spaces in the formula</b><br>' => 'Die Formeln müssen in der folgenden Syntax eingegeben werden:<br>Bei normalen Artikeln:<br>Variablenname = Variable Einheit;<br>Variablenname2 = Variable2 Einheit2;<br>...<br>###<br>Variable + Variable2 * ( Variable - Variable2 )<br>Variablennamen und Einheiten dürfen nur aus alphanumerischen Zeichen bestehen.<br>Es muss jeweils die Gesamte Zeile eingegeben werden',
3645	3646	'The greetings have been saved.' => 'Die Anreden wurden gespeichert',
3646	3647	'The installation is currently locked.' => 'Die Installation ist momentan gesperrt.',

     -- @tag: validity_tokens
     -- @description: Gültigkeits-Tokens z.B. für HTML-Formulare
     -- @depends: release_3_6_1
     CREATE TABLE validity_tokens (
       id          SERIAL,
       scope       TEXT      NOT NULL,
       token       TEXT      NOT NULL,
       itime       TIMESTAMP NOT NULL DEFAULT now(),
       valid_until TIMESTAMP NOT NULL,
       PRIMARY KEY (id),
       UNIQUE (scope, token)
     );
     INSERT INTO background_jobs (type, package_name, cron_spec, next_run_at, active)
     VALUES ('interval', 'ValidityTokenCleanup', '0 3 * * *', now(), true);

     <input type="hidden" name="follow_up_rowcount" id="follow_up_rowcount" value="1">
     <input type="hidden" name="lastmtime" id="lastmtime" value="[% HTML.escape(lastmtime) %]">
     <input type="hidden" name="already_printed_flag" id="already_printed_flag" value="0">
     [% IF !id %]
     [%   L.hidden_tag('form_validity_token', form_validity_token) %]
     [% END %]
     <h1>[% title %]</h1>

Auch abrufbar als: Unified diff

Projekt

Allgemein

Profil

projekt kivitendo

Revision 8b4dd266

Von Moritz Bunkus vor mehr als 2 Jahren hinzugefügt