From 94582453820655d11cb6dff8ad62148742591103 Mon Sep 17 00:00:00 2001
From: syuilo <syuilotan@yahoo.co.jp>
Date: Fri, 6 Jan 2017 11:50:46 +0900
Subject: [PATCH] [BREAKING CHANGE] Improve security

---
 docs/api/getting-started.pug     |  2 ++
 package.json                     |  1 +
 src/api/authenticate.ts          |  2 +-
 src/api/endpoints/auth/accept.js | 15 ++++++++++++++-
 src/api/streaming.ts             |  2 +-
 5 files changed, 19 insertions(+), 3 deletions(-)

diff --git a/docs/api/getting-started.pug b/docs/api/getting-started.pug
index f56574523..e255a5e93 100644
--- a/docs/api/getting-started.pug
+++ b/docs/api/getting-started.pug
@@ -70,5 +70,7 @@ block content
 				| 次に、<code>#{api_url}/auth/session/userkey</code>へ<code>app_secret</code>としてApp Secretを、<code>token</code>としてセッションのトークンをパラメータとして付与したリクエストを送信してください。
 				br
 				| 上手くいけば、認証したユーザーのアクセストークンがレスポンスとして取得できます。おめでとうございます！
+			p
+				| 以降アクセストークンは、<strong>ユーザーのアクセストークン+アプリのシークレットキーをsha512したもの</strong>として扱います。
 
 	p アクセストークンを取得できたら、あとは簡単です。REST APIなら、リクエストにアクセストークンを<code>i</code>としてパラメータに含めるだけです。
diff --git a/package.json b/package.json
index 423103c75..1debc8853 100644
--- a/package.json
+++ b/package.json
@@ -69,6 +69,7 @@
     "compression": "1.6.2",
     "cors": "2.8.1",
     "cropperjs": "1.0.0-beta",
+    "crypto": "0.0.3",
     "deepcopy": "0.6.3",
     "del": "2.2.2",
     "elasticsearch": "12.1.3",
diff --git a/src/api/authenticate.ts b/src/api/authenticate.ts
index 832517379..0a888e72d 100644
--- a/src/api/authenticate.ts
+++ b/src/api/authenticate.ts
@@ -43,7 +43,7 @@ export default (req: express.Request) => new Promise<IAuthContext>(async (resolv
 		});
 	} else {
 		const userkeyDoc = await Userkey.findOne({
-			key: token
+			hash: token
 		});
 
 		if (userkeyDoc === null) {
diff --git a/src/api/endpoints/auth/accept.js b/src/api/endpoints/auth/accept.js
index 7c45650c6..9eb5d2e7e 100644
--- a/src/api/endpoints/auth/accept.js
+++ b/src/api/endpoints/auth/accept.js
@@ -4,6 +4,8 @@
  * Module dependencies
  */
 import rndstr from 'rndstr';
+const crypto = require('crypto');
+import App from '../../models/app';
 import AuthSess from '../../models/auth-session';
 import Userkey from '../../models/userkey';
 
@@ -41,12 +43,23 @@ module.exports = (params, user) =>
 	});
 
 	if (exist === null) {
+		// Lookup app
+		const app = await App.findOne({
+			app_id: session.app_id
+		});
+
+		// Generate Hash
+		const sha512 = crypto.createHash('sha512');
+		sha512.update(key + app.secret);
+		const hash = sha512.digest('hex');
+
 		// Insert userkey doc
 		await Userkey.insert({
 			created_at: new Date(),
 			app_id: session.app_id,
 			user_id: user._id,
-			key: key
+			key: key,
+			hash: hash
 		});
 	}
 
diff --git a/src/api/streaming.ts b/src/api/streaming.ts
index 84a0f9ddf..dd28a0bc1 100644
--- a/src/api/streaming.ts
+++ b/src/api/streaming.ts
@@ -64,7 +64,7 @@ function authenticate(connection: websocket.connection, token: string): Promise<
 			resolve(user);
 		} else {
 			const userkey = await Userkey.findOne({
-				key: token
+				hash: token
 			});
 
 			if (userkey == null) {