Endurecer MFA: logout borra `mfa_trusted` y recuerdo de dispositivo administrable by AtlasLabs797 · Pull Request #16 · AtlasLabs797/AtlasBalance

AtlasLabs797 · 2026-05-20T09:45:21Z

Corregir una regresión de seguridad que dejaba la cookie mfa_trusted activa tras POST /api/auth/logout, permitiendo omitir MFA en ese navegador hasta 90 días. Esta corrección se asocia a la versión V-01.07.
Dar control al administrador sobre el comportamiento de "recordar dispositivo" y reducir la ventana de confianza por defecto para minimizar la superficie de ataque.

Restauré la eliminación de la cookie mfa_trusted en el endpoint POST /api/auth/logout para revocar el bypass MFA en el cliente (AuthController.cs).
Reemplacé el valor hardcodeado de 90 días por una política administrable: agregué lectura de mfa_remember_device_enabled y mfa_remember_days en AuthService y solo emito el token de dispositivo confiable si la opción está habilitada; el valor por defecto es 62 días y se clampa a 1..180 (AuthService.cs).
Exposé los nuevos campos en la API de configuración (GET/PUT /api/configuracion) y en los DTOs (ConfiguracionController.cs, ConfiguracionDtos.cs) y añadí valores seed seguros (false, 62) en SeedData.cs.
Actualicé pruebas unitarias para reflejar el nuevo comportamiento seguro: AuthControllerTests (logout borra mfa_trusted) y AuthServiceTests (ajustado el umbral de expiración a ~62 días). También registré el cambio en Documentacion/DOCUMENTACION_CAMBIOS.md.

Se actualizaron los tests unitarios AuthControllerTests y AuthServiceTests para validar la nueva lógica y la ventana por defecto.
Intenté ejecutar los tests focalizados con dotnet test --filter "FullyQualifiedName~AuthControllerTests|FullyQualifiedName~AuthServiceTests", pero el entorno de ejecución donde se hizo la modificación no tiene instalado dotnet (No such file or directory), por lo que las pruebas no se ejecutaron aquí.
Validación estática del cambio y ajustes en los DTOs/seed y la actualización de Documentacion/DOCUMENTACION_CAMBIOS.md completadas; los tests están listos para ejecutarse en CI o en un entorno con SDK .NET disponible.

Harden MFA trusted device logout and admin policy

221dbbb

AtlasLabs797 added the codex label May 20, 2026 — with ChatGPT Codex Connector

AtlasLabs797 closed this May 20, 2026

AtlasLabs797 reopened this May 20, 2026

AtlasLabs797 deleted the branch V-01.08 May 20, 2026 09:52

AtlasLabs797 closed this May 20, 2026

Provide feedback