Passwort-Komplexität + Portal-Credentials-UX

validatePasswordComplexity (12 Zeichen, Groß/Klein/Zahl/Sonderzeichen) zentral in passwordGenerator.ts; jetzt erzwungen in setPortalPassword, confirmPasswordReset, register, createUser, updateUser. Neue Endpoints: - POST /customers/:id/portal/password/generate → 16-Zeichen Zufallspasswort - POST /customers/:id/portal/send-credentials → Versand per Mail (nur wenn portalEnabled aktiv) Frontend (CustomerDetail): Generate-Button vor Setzen, Send-Credentials nach gesetztem Passwort, Live-Komplexitäts-Hint (✓/○) während Eingabe, alert() durch Toast-Notifications ersetzt. Live-verifiziert: schwaches Passwort → 400 mit Detail-Fehler, komplexes Passwort → 200, Generator liefert 16-Zeichen-Passwort. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-16 18:26:11 +02:00
parent 6af1a4bbd4
commit 8a5ffbb563
8 changed files with 353 additions and 10 deletions
@@ -3,6 +3,7 @@ import * as authService from '../services/auth.service.js';
 import { AuthRequest, ApiResponse } from '../types/index.js';
 import prisma from '../lib/prisma.js';
 import { emit as emitSecurityEvent, contextFromRequest } from '../services/securityMonitor.service.js';
 import { validatePasswordComplexity } from '../utils/passwordGenerator.js';
 // Refresh-Token-Cookie-Konfiguration. Der Cookie:
 // - httpOnly → kein JavaScript-Zugriff → bei XSS nicht klaubar
@@ -223,10 +224,11 @@ export async function confirmPasswordReset(req: Request, res: Response): Promise
      return;
    }
-    if (password.length < 6) {
+    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
-        error: 'Das Passwort muss mindestens 6 Zeichen lang sein',
+        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
@@ -355,6 +357,15 @@ export async function register(req: Request, res: Response): Promise<void> {
      return;
    }
    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
    const user = await authService.createUser({
      email,
      password,
@@ -3,6 +3,7 @@ import prisma from '../lib/prisma.js';
 import * as customerService from '../services/customer.service.js';
 import * as authService from '../services/auth.service.js';
 import { logChange } from '../services/audit.service.js';
 import { validatePasswordComplexity, generateSecurePassword } from '../utils/passwordGenerator.js';
 import { ApiResponse, AuthRequest } from '../types/index.js';
 import {
  sanitizeCustomer,
@@ -957,13 +958,111 @@ export async function updatePortalSettings(req: Request, res: Response): Promise
  }
 }
 /**
 * Generiert ein zufälliges, komplexes Passwort (16 Zeichen, gemischt).
 * Setzt es NICHT direkt — wird im Frontend in den Setzen-Button-Flow gefüttert.
 * Damit hat der Admin Wahlfreiheit (Generieren → ggf. anpassen → speichern).
 */
 export async function generatePortalPassword(req: Request, res: Response): Promise<void> {
  try {
    const password = generateSecurePassword({ length: 16 });
    res.json({ success: true, data: { password } } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Generieren des Passworts',
    } as ApiResponse);
  }
 }
 /**
 * Verschickt die Portal-Zugangsdaten per E-Mail an die hinterlegte
 * `email` (bevorzugt) oder fallback auf `portalEmail` des Kunden. Das
 * Passwort wird aus dem `portalPasswordEncrypted`-Feld entschlüsselt
 * (= das aktuell aktive Klartext-Passwort, das auch in der UI angezeigt wird).
 */
 export async function sendPortalCredentials(req: AuthRequest, res: Response): Promise<void> {
  try {
    const customerId = parseInt(req.params.customerId);
    const customer = await prisma.customer.findUnique({
      where: { id: customerId },
      select: {
        id: true, firstName: true, lastName: true, salutation: true, companyName: true,
        email: true, portalEmail: true, portalEnabled: true,
        portalPasswordEncrypted: true, portalPasswordHash: true,
      },
    });
    if (!customer) {
      res.status(404).json({ success: false, error: 'Kunde nicht gefunden' } as ApiResponse);
      return;
    }
    if (!customer.portalEnabled) {
      res.status(400).json({
        success: false,
        error: 'Portal ist für diesen Kunden nicht aktiviert',
      } as ApiResponse);
      return;
    }
    if (!customer.portalPasswordHash) {
      res.status(400).json({
        success: false,
        error: 'Es ist noch kein Portal-Passwort gesetzt',
      } as ApiResponse);
      return;
    }
    const targetEmail = customer.email || customer.portalEmail;
    if (!targetEmail) {
      res.status(400).json({
        success: false,
        error: 'Kunde hat keine E-Mail-Adresse hinterlegt',
      } as ApiResponse);
      return;
    }
    const loginEmail = customer.portalEmail || customer.email!;
    const plaintextPassword = await authService.getCustomerPortalPassword(customerId);
    if (!plaintextPassword) {
      res.status(400).json({
        success: false,
        error: 'Klartext-Passwort nicht verfügbar (alte Anlage ohne Encrypted-Feld – bitte neu setzen)',
      } as ApiResponse);
      return;
    }
    await authService.sendPortalCredentialsEmail({
      to: targetEmail,
      customer,
      loginEmail,
      password: plaintextPassword,
    });
    await logChange({
      req,
      action: 'UPDATE',
      resourceType: 'PortalSettings',
      resourceId: customerId.toString(),
      label: `Portal-Zugangsdaten per E-Mail versendet an ${targetEmail}`,
      customerId,
    });
    res.json({ success: true, message: `Zugangsdaten an ${targetEmail} versendet` } as ApiResponse);
  } catch (error) {
    res.status(500).json({
      success: false,
      error: error instanceof Error ? error.message : 'Fehler beim Versenden der Zugangsdaten',
    } as ApiResponse);
  }
 }
 export async function setPortalPassword(req: Request, res: Response): Promise<void> {
  try {
    const { password } = req.body;
-    if (!password || password.length < 6) {
+    // Komplexität: 12 Zeichen, Groß/Klein/Zahl/Sonderzeichen (zentrale Regel)
    const complexity = validatePasswordComplexity(password);
    if (!complexity.ok) {
      res.status(400).json({
        success: false,
-        error: 'Passwort muss mindestens 6 Zeichen lang sein',
+        error: 'Passwort erfüllt Mindestanforderungen nicht: ' + complexity.errors.join(', '),
      } as ApiResponse);
      return;
    }
@@ -4,6 +4,7 @@ import * as userService from '../services/user.service.js';
 import { logChange } from '../services/audit.service.js';
 import { ApiResponse } from '../types/index.js';
 import { pickUserCreate, pickUserUpdate } from '../utils/sanitize.js';
 import { validatePasswordComplexity } from '../utils/passwordGenerator.js';
 // Users
 export async function getUsers(req: Request, res: Response): Promise<void> {
@@ -51,7 +52,18 @@ export async function getUser(req: Request, res: Response): Promise<void> {
 export async function createUser(req: Request, res: Response): Promise<void> {
  try {
    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
-    const user = await userService.createUser(pickUserCreate(req.body) as any);
+    const data = pickUserCreate(req.body) as any;
    if (data?.password) {
      const c = validatePasswordComplexity(data.password);
      if (!c.ok) {
        res.status(400).json({
          success: false,
          error: 'Passwort erfüllt Mindestanforderungen nicht: ' + c.errors.join(', '),
        } as ApiResponse);
        return;
      }
    }
    const user = await userService.createUser(data);
    await logChange({
      req, action: 'CREATE', resourceType: 'User',
      resourceId: user.id.toString(),
@@ -71,6 +83,16 @@ export async function updateUser(req: Request, res: Response): Promise<void> {
    const userId = parseInt(req.params.id);
    // Whitelist: nur erlaubte Felder aus req.body übernehmen (Mass-Assignment-Schutz)
    const data = pickUserUpdate(req.body);
    if ((data as any)?.password) {
      const c = validatePasswordComplexity((data as any).password);
      if (!c.ok) {
        res.status(400).json({
          success: false,
          error: 'Passwort erfüllt Mindestanforderungen nicht: ' + c.errors.join(', '),
        } as ApiResponse);
        return;
      }
    }
    // Vorherigen Stand laden für Audit – inkl. Rollen, damit hasGdprAccess /
    // hasDeveloperAccess (versteckte Rollen) korrekt verglichen werden.
@@ -37,6 +37,8 @@ router.get('/:customerId/portal', authenticate, requirePermission('customers:upd
 router.put('/:customerId/portal', authenticate, requirePermission('customers:update'), customerController.updatePortalSettings);
 router.post('/:customerId/portal/password', authenticate, requirePermission('customers:update'), customerController.setPortalPassword);
 router.get('/:customerId/portal/password', authenticate, requirePermission('customers:update'), customerController.getPortalPassword);
 router.post('/:customerId/portal/password/generate', authenticate, requirePermission('customers:update'), customerController.generatePortalPassword);
 router.post('/:customerId/portal/send-credentials', authenticate, requirePermission('customers:update'), customerController.sendPortalCredentials);
 // Representatives (Vertreter)
 router.get('/:customerId/representatives', authenticate, requirePermission('customers:read'), customerController.getRepresentatives);
@@ -513,6 +513,80 @@ function getPublicUrl(): string {
  return process.env.PUBLIC_URL || 'http://localhost:5173';
 }
 /**
 * Portal-Zugangsdaten per E-Mail an den Kunden versenden. Nur durch Admin-
 * UI ausgelöst – nie automatisch –, weil das Klartext-Passwort im Mail-
 * Body steht. Login-URL zeigt auf das `/portal/login`-Frontend-Route.
 */
 export async function sendPortalCredentialsEmail(params: {
  to: string;
  customer: { firstName: string | null; lastName: string | null; salutation: string | null; companyName: string | null };
  loginEmail: string;
  password: string;
 }): Promise<void> {
  const systemEmail = await getSystemEmailCredentials();
  if (!systemEmail) {
    throw new Error('Kein System-E-Mail-Konto konfiguriert (Einstellungen → E-Mail-Provider)');
  }
  const credentials: SmtpCredentials = {
    host: systemEmail.smtpServer,
    port: systemEmail.smtpPort,
    user: systemEmail.emailAddress,
    password: systemEmail.password,
    encryption: systemEmail.smtpEncryption,
    allowSelfSignedCerts: systemEmail.allowSelfSignedCerts,
  };
  const loginUrl = `${getPublicUrl()}/portal/login`;
  const name = params.customer.companyName?.trim()
    || `${params.customer.firstName || ''} ${params.customer.lastName || ''}`.trim()
    || 'Kunde';
  // HTML-Escape – Customer-Namen können theoretisch Sonderzeichen enthalten,
  // die wir nicht ungefiltert in die Mail rendern wollen.
  const esc = (s: string) =>
    s.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;').replace(/"/g, '&quot;');
  const html = `
    <div style="font-family: Arial, sans-serif; max-width: 600px; margin: 0 auto;">
      <h2 style="color: #1e40af;">Ihre Zugangsdaten zum Kundenportal</h2>
      <p>Hallo ${esc(name)},</p>
      <p>anbei Ihre Zugangsdaten zum Kundenportal:</p>
      <table style="border-collapse: collapse; margin: 16px 0;">
        <tr><td style="padding: 6px 12px; color: #6b7280;">Login-URL:</td>
            <td style="padding: 6px 12px;"><a href="${loginUrl}">${esc(loginUrl)}</a></td></tr>
        <tr><td style="padding: 6px 12px; color: #6b7280;">E-Mail:</td>
            <td style="padding: 6px 12px; font-family: monospace;">${esc(params.loginEmail)}</td></tr>
        <tr><td style="padding: 6px 12px; color: #6b7280;">Passwort:</td>
            <td style="padding: 6px 12px; font-family: monospace;">${esc(params.password)}</td></tr>
      </table>
      <p style="color: #6b7280; font-size: 14px;">
        Bitte ändern Sie Ihr Passwort nach dem ersten Login (im Portal unter „Mein Konto").
      </p>
      <hr style="border: none; border-top: 1px solid #e5e7eb; margin: 24px 0;">
      <p style="color: #9ca3af; font-size: 12px;">
        Diese Nachricht enthält sensible Zugangsdaten – bitte sicher verwahren oder nach
        dem Login löschen.
      </p>
    </div>
  `;
  await sendEmail(
    credentials,
    systemEmail.emailAddress,
    {
      to: params.to,
      subject: 'Ihre Zugangsdaten zum Kundenportal',
      html,
    },
    {
      context: 'portal-credentials',
      triggeredBy: 'admin-action',
    },
  );
 }
 /**
 * Passwort-Reset-Link per Email senden.
 * Findet User/Customer per Email. Wirft keinen Error wenn nicht gefunden
@@ -88,6 +88,43 @@ export function generateSimplePassword(length = 12): string {
  });
 }
 // ==================== PASSWORD COMPLEXITY VALIDATION ====================
 /**
 * Mindestanforderungen für vom User vergebene Passwörter.
 * Generator-Output (generateSecurePassword) erfüllt diese standardmäßig.
 */
 export interface PasswordComplexityResult {
  ok: boolean;
  errors: string[];
 }
 export function validatePasswordComplexity(pw: unknown): PasswordComplexityResult {
  const errors: string[] = [];
  if (typeof pw !== 'string') {
    return { ok: false, errors: ['Passwort fehlt oder ist kein Text'] };
  }
  if (pw.length < 12) errors.push('mindestens 12 Zeichen');
  if (!/[a-z]/.test(pw)) errors.push('mindestens einen Kleinbuchstaben');
  if (!/[A-Z]/.test(pw)) errors.push('mindestens einen Großbuchstaben');
  if (!/[0-9]/.test(pw)) errors.push('mindestens eine Ziffer');
  // Sonderzeichen-Set bewusst breit – auch Leerzeichen + Unicode-Punktuation
  // zulassen, damit gängige Passwort-Manager-Outputs nicht abgelehnt werden.
  if (!/[^A-Za-z0-9]/.test(pw)) errors.push('mindestens ein Sonderzeichen');
  return { ok: errors.length === 0, errors };
 }
 /**
 * Wirft mit sprechender Fehlermeldung, wenn das Passwort die Komplexität
 * nicht erfüllt. Für Aufruf direkt im Controller, der die Exception fängt.
 */
 export function assertPasswordComplexity(pw: unknown): void {
  const r = validatePasswordComplexity(pw);
  if (!r.ok) {
    throw new Error('Passwort erfüllt Mindestanforderungen nicht: ' + r.errors.join(', '));
  }
 }
 // Kryptografisch sichere Zufallszahl
 function getRandomInt(max: number): number {
  const bytes = randomBytes(4);
@@ -1796,6 +1796,38 @@ function ContractsTab({
  );
 }
 // Passwort-Komplexität – muss zur Backend-Regel in
 // backend/src/utils/passwordGenerator.ts:validatePasswordComplexity passen.
 function passwordMeetsComplexity(pw: string): boolean {
  return (
    pw.length >= 12 &&
    /[a-z]/.test(pw) &&
    /[A-Z]/.test(pw) &&
    /[0-9]/.test(pw) &&
    /[^A-Za-z0-9]/.test(pw)
  );
 }
 // Live-Hinweis welche Komplexitäts-Anforderungen noch fehlen
 function PasswordComplexityHint({ password }: { password: string }) {
  const checks = [
    { ok: password.length >= 12, label: '≥ 12 Zeichen' },
    { ok: /[a-z]/.test(password), label: 'Kleinbuchstabe' },
    { ok: /[A-Z]/.test(password), label: 'Großbuchstabe' },
    { ok: /[0-9]/.test(password), label: 'Ziffer' },
    { ok: /[^A-Za-z0-9]/.test(password), label: 'Sonderzeichen' },
  ];
  return (
    <ul className="mt-2 text-xs space-y-0.5">
      {checks.map((c) => (
        <li key={c.label} className={c.ok ? 'text-green-600' : 'text-gray-500'}>
          {c.ok ? '✓' : '○'} {c.label}
        </li>
      ))}
    </ul>
  );
 }
 // Gespeichertes Passwort anzeigen
 function StoredPasswordDisplay({ customerId }: { customerId: number }) {
  const [showStoredPassword, setShowStoredPassword] = useState(false);
@@ -1898,10 +1930,35 @@ function PortalTab({
    onSuccess: () => {
      setNewPassword('');
      queryClient.invalidateQueries({ queryKey: ['customer-portal', customerId] });
-      alert('Passwort wurde gesetzt');
+      toast.success('Passwort wurde gesetzt');
    },
    onError: (error: Error) => {
-      alert(error.message);
+      toast.error(error.message);
    },
  });
  // Passwort generieren (16 Zeichen, komplex) – ins Input-Feld füllen
  const generatePasswordMutation = useMutation({
    mutationFn: () => customerApi.generatePortalPassword(customerId),
    onSuccess: (res) => {
      const generated = res.data?.password || '';
      setNewPassword(generated);
      setShowPassword(true);
      toast.success('Komplexes Passwort generiert – jetzt „Setzen" klicken.');
    },
    onError: (error: Error) => {
      toast.error(error.message);
    },
  });
  // Zugangsdaten per E-Mail an den Kunden senden
  const sendCredentialsMutation = useMutation({
    mutationFn: () => customerApi.sendPortalCredentials(customerId),
    onSuccess: (res) => {
      toast.success(res.message || 'Zugangsdaten gesendet');
    },
    onError: (error: Error) => {
      toast.error(error.message);
    },
  });
@@ -2003,7 +2060,7 @@ function PortalTab({
                    type={showPassword ? 'text' : 'password'}
                    value={newPassword}
                    onChange={(e) => setNewPassword(e.target.value)}
-                    placeholder="Mindestens 6 Zeichen"
+                    placeholder="Mind. 12 Zeichen, Groß/Klein/Zahl/Sonderzeichen"
                    disabled={!canEdit}
                  />
                  <button
@@ -2014,15 +2071,48 @@ function PortalTab({
                    {showPassword ? <EyeOff className="w-4 h-4" /> : <Eye className="w-4 h-4" />}
                  </button>
                </div>
                <Button
                  variant="secondary"
                  onClick={() => generatePasswordMutation.mutate()}
                  disabled={!canEdit || generatePasswordMutation.isPending}
                  title='Komplexes Passwort generieren (16 Zeichen, Groß/Klein/Zahl/Sonderzeichen). Wird ins Feld geschrieben – danach "Setzen" klicken.'
                >
                  {generatePasswordMutation.isPending ? 'Generieren...' : 'Generieren'}
                </Button>
                <Button
                  onClick={() => setPasswordMutation.mutate(newPassword)}
-                  disabled={!canEdit || newPassword.length < 6 || setPasswordMutation.isPending}
+                  disabled={!canEdit || !passwordMeetsComplexity(newPassword) || setPasswordMutation.isPending}
                  title={passwordMeetsComplexity(newPassword) ? 'Passwort speichern' : 'Komplexität nicht erfüllt'}
                >
                  {setPasswordMutation.isPending ? 'Speichern...' : 'Setzen'}
                </Button>
              </div>
              {/* Komplexitäts-Hinweise: zeigt live welche Anforderungen erfüllt sind */}
              {newPassword.length > 0 && !passwordMeetsComplexity(newPassword) && (
                <PasswordComplexityHint password={newPassword} />
              )}
              {portal?.hasPassword && (
                <>
                  <StoredPasswordDisplay customerId={customerId} />
                  <div className="mt-3">
                    <Button
                      variant="secondary"
                      size="sm"
                      onClick={() => {
                        if (confirm(
                          'Aktuelles Portal-Passwort und Login-URL per E-Mail an den Kunden senden?\n\n' +
                          'Hinweis: Das Passwort wird im Klartext in der E-Mail enthalten sein.'
                        )) {
                          sendCredentialsMutation.mutate();
                        }
                      }}
                      disabled={!canEdit || sendCredentialsMutation.isPending}
                      title="Login-URL + E-Mail + Passwort an die Kunden-E-Mail versenden"
                    >
                      {sendCredentialsMutation.isPending ? 'Sende...' : 'Zugangsdaten per E-Mail versenden'}
                    </Button>
                  </div>
                </>
              )}
            </div>
          )}
@@ -168,6 +168,14 @@ export const customerApi = {
    const res = await api.get<ApiResponse<{ password: string | null }>>(`/customers/${customerId}/portal/password`);
    return res.data;
  },
  generatePortalPassword: async (customerId: number) => {
    const res = await api.post<ApiResponse<{ password: string }>>(`/customers/${customerId}/portal/password/generate`);
    return res.data;
  },
  sendPortalCredentials: async (customerId: number) => {
    const res = await api.post<ApiResponse<void>>(`/customers/${customerId}/portal/send-credentials`);
    return res.data;
  },
  // Vertreter-Verwaltung
  getRepresentatives: async (customerId: number) => {
    const res = await api.get<ApiResponse<CustomerRepresentative[]>>(`/customers/${customerId}/representatives`);