vvzvlad/gitmost
1
0
Fork 0
Code Issues 14 Pull Requests 12 Packages Projects Releases Activity

mcp-auth: тело enforceBasicLoginGate (закрытие SSO/MFA-байпаса) не покрыто тестами #82

New Issue
Closed
opened 2026-06-21 02:33:12 +03:00 by Ghost · 0 comments
Ghost commented 2026-06-21 02:33:12 +03:00
Copy Link

Найдено в multi-aspect code review всех изменений с коммита 053a9c0d (ветка develop).

Грань: test-coverage / security · Severity: warning
Где: apps/server/src/integrations/mcp/mcp.service.ts:230-277

Проблема
enforceBasicLoginGate — ядро security-фикса. 4 нетривиальные ветки: re-surface ошибки validateSsoEnforcement как UnauthorizedException, отсутствие EE MFA-модуля → проход, вызов checkMfaRequirements, reject при userHasMfa||requiresMfaSetup. Тесты используют ЗАГЛУШКУ гейта и проверяют лишь, что resolveMcpSessionConfig вызывает её до login() и шорткатит на throw — реальное тело не исполняется. Регрессия, инвертирующая MFA-условие или сузившая catch вокруг SSO, пройдёт все тесты и заново откроет байпас. (McpService не инстанцируется под текущим jest из-за импорта AuthService → @docmost/transactional, поэтому нужен framework-free вынос или AST-контракт-тест.)

Предлагаемый фикс
Вынести решающую логику гейта в framework-free mcp-auth.helpers.ts (чистая функция: результат validateSsoEnforcement + инжектируемый checkMfaRequirements + флаги) и покрыть все ветки; как минимум — AST-контракт-тест по образцу verify-user-credentials.contract.spec.ts.

Найдено в multi-aspect code review всех изменений с коммита `053a9c0d` (ветка develop). **Грань:** test-coverage / security · **Severity:** warning **Где:** `apps/server/src/integrations/mcp/mcp.service.ts:230-277` **Проблема** enforceBasicLoginGate — ядро security-фикса. 4 нетривиальные ветки: re-surface ошибки validateSsoEnforcement как UnauthorizedException, отсутствие EE MFA-модуля → проход, вызов checkMfaRequirements, reject при userHasMfa||requiresMfaSetup. Тесты используют ЗАГЛУШКУ гейта и проверяют лишь, что resolveMcpSessionConfig вызывает её до login() и шорткатит на throw — реальное тело не исполняется. Регрессия, инвертирующая MFA-условие или сузившая catch вокруг SSO, пройдёт все тесты и заново откроет байпас. (McpService не инстанцируется под текущим jest из-за импорта AuthService → @docmost/transactional, поэтому нужен framework-free вынос или AST-контракт-тест.) **Предлагаемый фикс** Вынести решающую логику гейта в framework-free mcp-auth.helpers.ts (чистая функция: результат validateSsoEnforcement + инжектируемый checkMfaRequirements + флаги) и покрыть все ветки; как минимум — AST-контракт-тест по образцу verify-user-credentials.contract.spec.ts.
Ghost closed this issue 2026-06-21 03:02:12 +03:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
bug
Something isn't working
 documentation
Improvements or additions to documentation
 duplicate
This issue or pull request already exists
 enhancement
New feature or request
 epic
Large multi-phase effort spanning many changes
 feature
New functionality request
 good first issue
Good for newcomers
 help wanted
Extra attention is needed
 idea
Idea / proposal for discussion
 invalid
This doesn't seem right
 needs-human
эскалация: нужно решение человека
 question
Further information is requested
 refactor
Code cleanup / refactoring
 review/approved
в последнем ревью нет открытых blocking-находок
 review/changes-requested
последнее ревью оставило открытые blocking-находки
 review/needs
head не ревьюился (head != reviewed_head)
 security
Security / hardening issue
 status/blocked
ждёт зависимость blocked_by
 status/done
закрыто и проверено
 status/in-progress
в активной работе (мягкая заявка)
 status/ready
специфицировано, не заблокировано, ждёт исполнителя
 test
Test coverage / test infrastructure
 wontfix
This will not be worked on
No Label
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
agent_coder agent_reviewer vvzvlad
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: vvzvlad/gitmost#82
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?