Очередность валидации при запросах клиента #39

New Issue

2026-05-24T00:15:30Z

owner commented

2026-05-24 00:15:30 +00:00

Наблюдение из #37:

В docs/ARCHITECTURE.md §15 «Verification order» (строки 762–763) подпись (шаг 4) указана перед проверкой payload_hash (шаг 5), а в коде наоборот: payload_hash.go обёрнут снаружи signature.go (server.go:131-132), то есть hash проверяется раньше подписи. На безопасность это не влияет (оба отказа происходят до обработки payload), но формально порядок в доке и в коде расходится.

Надо подправить реализацию, чтобы соответствовала документации - сначала проверяем подпись, потом hash.

Наблюдение из #37: > В docs/ARCHITECTURE.md §15 «Verification order» (строки 762–763) подпись (шаг 4) указана перед проверкой payload_hash (шаг 5), а в коде наоборот: payload_hash.go обёрнут снаружи signature.go (server.go:131-132), то есть hash проверяется раньше подписи. На безопасность это не влияет (оба отказа происходят до обработки payload), но формально порядок в доке и в коде расходится. Надо подправить реализацию, чтобы соответствовала документации - сначала проверяем подпись, потом hash.

owner added the Kind/Security ready labels 2026-05-24 00:15:30 +00:00

developer was assigned by owner

2026-05-24 00:15:30 +00:00

developer added

claude

working

and removed ready labels 2026-05-24 00:28:24 +00:00

developer commented

2026-05-24 00:28:44 +00:00

@owner привет! Разобралась с #39 — и тут всплыла деталь, из-за которой хочу свериться с тобой до того, как трогать код проверки подписи (область чувствительная, auth + Kind/Security).

Что подтвердила в коде

Порядок проверок в gateway собран как цепочка декораторов в gateway/internal/grpcapi/server.go:129-148. Читается изнутри наружу, и сейчас он такой:

envelope → 2. session lookup → 3. payload_hash → 4. signature → 5. freshness/replay → 6. rate limit → routing.

То есть да, hash проверяется раньше подписи — ровно как ты и заметил в наблюдении из #37. Декораторы независимы (оба только читают из контекста envelope и сессию, ничего друг другу не кладут), так что технически поменять их местами — это перестановка двух строк.

Но всплыло другое: расходится не «дока против кода», а одна дока против трёх источников

docs/ARCHITECTURE.md §15 (строки 762-763): сначала подпись, потом hash.
gateway/README.md (строки 582-583): сначала hash, потом подпись.
gateway/docs/flows.md (строки 41-42): сначала hash, потом подпись.
код (server.go): сначала hash, потом подпись.

Получается, код + README + flows.md согласованы между собой (hash раньше), и только ARCHITECTURE.md §15 говорит обратное. В issue это выглядело как «доку приняли за истину, код отстал», но по факту «отстала» как раз ARCHITECTURE.md — против неё три согласованных источника. Поэтому не хочу молча переписывать auth-цепочку: давай ты осознанно выберешь, что тут истина.

Вариант A — двигаем код под ARCHITECTURE.md (то, что ты просил в issue)

Меняю порядок на «подпись → hash» в коде и заодно правлю README + flows.md, чтобы они тоже говорили «подпись → hash» (иначе они начнут противоречить уже исправленному коду).

Плюсы: это криптографически более правильный порядок — сначала аутентифицируем запрос, потом обрабатываем его содержимое. Подпись как раз накрывает поле payload_hash (signature.go:66), так что hash имеет смысл проверять уже после того, как подпись подтвердила его подлинность. ARCHITECTURE.md — наш заявленный источник истины по модели безопасности.
Минусы: трогаем auth-код; меняется наблюдаемая семантика ошибки (см. ниже); надо переписать 4 unit-теста.

Вариант B — двигаем доку под код

Код не трогаю вообще, просто правлю ARCHITECTURE.md §15 на «hash → подпись», чтобы она совпала с кодом + README + flows.

Плюсы: нулевой риск, нулевое изменение поведения, однострочная правка доки.
Минусы: остаётся менее «правильный» порядок (проверяем неаутентифицированное поле hash до подписи); это противоречит принципу «authenticate before processing», который сам же security-док и проповедует.

Важный побочный эффект варианта A — семантика ошибки

Поскольку подпись накрывает payload_hash, подделка поля payload_hash ломает и подпись. Значит при порядке «подпись первой» на таком запросе сработает сначала проверка подписи → UNAUTHENTICATED "invalid request signature", а не INVALID_ARGUMENT "payload_hash does not match payload_bytes", как сейчас. На безопасность это не влияет (как ты и сказал — оба отказа происходят до обработки payload), но это наблюдаемое изменение кода и текста ошибки для подделанных запросов.

Чтобы сохранить осмысленное покрытие hash-гейта, перепишу 4 unit-теста в payload_hash_integration_test.go так, чтобы подпись оставалась валидной, а hash-проверка всё равно падала (для mismatch — валидная подпись над hash H, но payload_bytes, чей реальный хэш ≠ H; для invalid-length — подписываем заведомо некорректный по длине hash). Интеграционный integration/gateway_edge_test.go это уже переживёт — он допускает оба кода ошибки.

Моя рекомендация — вариант A

Порядок «подпись → hash» объективно правильнее, и ARCHITECTURE.md как security-источник истины должен задавать тон, а README и flows надо подтянуть к нему. Но раз это auth и Kind/Security, без твоего «да» не двигаюсь.

Что выбираешь — A или B?

@owner привет! Разобралась с #39 — и тут всплыла деталь, из-за которой хочу свериться с тобой до того, как трогать код проверки подписи (область чувствительная, auth + `Kind/Security`). ### Что подтвердила в коде Порядок проверок в gateway собран как цепочка декораторов в `gateway/internal/grpcapi/server.go:129-148`. Читается изнутри наружу, и сейчас он такой: 1. envelope → 2. session lookup → 3. **payload_hash** → 4. **signature** → 5. freshness/replay → 6. rate limit → routing. То есть да, hash проверяется раньше подписи — ровно как ты и заметил в наблюдении из #37. Декораторы независимы (оба только читают из контекста envelope и сессию, ничего друг другу не кладут), так что технически поменять их местами — это перестановка двух строк. ### Но всплыло другое: расходится не «дока против кода», а одна дока против трёх источников - `docs/ARCHITECTURE.md` §15 (строки 762-763): сначала **подпись**, потом hash. - `gateway/README.md` (строки 582-583): сначала **hash**, потом подпись. - `gateway/docs/flows.md` (строки 41-42): сначала **hash**, потом подпись. - код (`server.go`): сначала **hash**, потом подпись. Получается, **код + README + flows.md согласованы между собой (hash раньше), и только ARCHITECTURE.md §15 говорит обратное.** В issue это выглядело как «доку приняли за истину, код отстал», но по факту «отстала» как раз ARCHITECTURE.md — против неё три согласованных источника. Поэтому не хочу молча переписывать auth-цепочку: давай ты осознанно выберешь, что тут истина. ### Вариант A — двигаем код под ARCHITECTURE.md (то, что ты просил в issue) Меняю порядок на «подпись → hash» в коде и заодно правлю README + flows.md, чтобы они тоже говорили «подпись → hash» (иначе они начнут противоречить уже исправленному коду). - Плюсы: это криптографически более правильный порядок — сначала аутентифицируем запрос, потом обрабатываем его содержимое. Подпись как раз накрывает поле `payload_hash` (`signature.go:66`), так что hash имеет смысл проверять уже после того, как подпись подтвердила его подлинность. ARCHITECTURE.md — наш заявленный источник истины по модели безопасности. - Минусы: трогаем auth-код; меняется наблюдаемая семантика ошибки (см. ниже); надо переписать 4 unit-теста. ### Вариант B — двигаем доку под код Код не трогаю вообще, просто правлю ARCHITECTURE.md §15 на «hash → подпись», чтобы она совпала с кодом + README + flows. - Плюсы: нулевой риск, нулевое изменение поведения, однострочная правка доки. - Минусы: остаётся менее «правильный» порядок (проверяем неаутентифицированное поле hash до подписи); это противоречит принципу «authenticate before processing», который сам же security-док и проповедует. ### Важный побочный эффект варианта A — семантика ошибки Поскольку подпись накрывает `payload_hash`, подделка поля `payload_hash` ломает и подпись. Значит при порядке «подпись первой» на таком запросе сработает сначала проверка подписи → `UNAUTHENTICATED "invalid request signature"`, а не `INVALID_ARGUMENT "payload_hash does not match payload_bytes"`, как сейчас. На безопасность это не влияет (как ты и сказал — оба отказа происходят до обработки payload), но это наблюдаемое изменение кода и текста ошибки для подделанных запросов. Чтобы сохранить осмысленное покрытие hash-гейта, перепишу 4 unit-теста в `payload_hash_integration_test.go` так, чтобы подпись оставалась валидной, а hash-проверка всё равно падала (для mismatch — валидная подпись над hash H, но `payload_bytes`, чей реальный хэш ≠ H; для invalid-length — подписываем заведомо некорректный по длине hash). Интеграционный `integration/gateway_edge_test.go` это уже переживёт — он допускает оба кода ошибки. ### Моя рекомендация — вариант A Порядок «подпись → hash» объективно правильнее, и ARCHITECTURE.md как security-источник истины должен задавать тон, а README и flows надо подтянуть к нему. Но раз это auth и `Kind/Security`, без твоего «да» не двигаюсь. Что выбираешь — **A** или **B**?

developer commented

2026-05-24 00:28:58 +00:00

Working log (issue-agent) — click to expand

State: in-review
Updated: 2026-05-24T00:47Z
Branch / PR: feature/issue-39-verification-order → PR #41 (into development), open, mergeable, CI green.
Confirmed:

Owner chose Option A (comment #175). Implemented: signature verified before payload_hash; code + README + flows.md aligned to ARCHITECTURE.md §15.
Decorators in server.go:129-148 are independent single-delegate wrappers; swap is mechanical. Signature is computed over payload_hash (signature.go:60-67), so signature-first is cryptographically sound.
FUNCTIONAL.md/its mirror do not pin the order; TESTING.md (line 65) already lists "signature, payload hash"; examples.md line 199 is response-signing; server.go:66 + session.go:56 comments stay true. No further doc edits needed.

Changes shipped:

server.go: newSignatureVerifyingService now wraps newPayloadHashVerifyingService (signature first).
payload_hash.go / signature.go: decorator doc comments updated.
gateway/README.md (steps 5↔6) + gateway/docs/flows.md (mermaid): signature→hash.
payload_hash_integration_test.go: 4 tests re-sign over the tampered hash so they still trip the hash gate.
Side effect: tampered payload_hash + signature over original hash → UNAUTHENTICATED instead of INVALID_ARGUMENT (security unchanged). Integration TestGatewayEdge_PayloadHashMismatch unaffected (signs over the overridden hash, accepts both codes).

Checks: Local gofmt/vet/go test ./gateway/.../integration-vet all green. CI on PR #41: go-unit ✓, integration ✓ (runs 331 + 332; branch-push run 330 ✓).

Open question: —

Decisions: Gated on the auth/Kind/Security blast radius and waited for the owner's A/B pick before touching code. Used Refs #39 (not Closes) so the merge does not auto-close — the owner closes the issue.

Next: Owner-driven — review and merge PR #41 (human merge only; never merge here). If the owner comments with changes, resume: re-read thread, set claude/working, adjust on the branch, re-push, re-watch CI. If the owner says to close, close #39 and clean up the branch/PR.

<details> <summary>Working log (issue-agent) — click to expand</summary> **State:** in-review **Updated:** 2026-05-24T00:47Z **Branch / PR:** `feature/issue-39-verification-order` → PR #41 (into `development`), open, mergeable, CI green. **Confirmed:** - Owner chose Option A (comment #175). Implemented: signature verified before payload_hash; code + README + flows.md aligned to ARCHITECTURE.md §15. - Decorators in `server.go:129-148` are independent single-delegate wrappers; swap is mechanical. Signature is computed over `payload_hash` (`signature.go:60-67`), so signature-first is cryptographically sound. - FUNCTIONAL.md/its mirror do not pin the order; TESTING.md (line 65) already lists "signature, payload hash"; examples.md line 199 is response-signing; `server.go:66` + `session.go:56` comments stay true. No further doc edits needed. **Changes shipped:** - `server.go`: `newSignatureVerifyingService` now wraps `newPayloadHashVerifyingService` (signature first). - `payload_hash.go` / `signature.go`: decorator doc comments updated. - `gateway/README.md` (steps 5↔6) + `gateway/docs/flows.md` (mermaid): signature→hash. - `payload_hash_integration_test.go`: 4 tests re-sign over the tampered hash so they still trip the hash gate. - Side effect: tampered `payload_hash` + signature over original hash → UNAUTHENTICATED instead of INVALID_ARGUMENT (security unchanged). Integration `TestGatewayEdge_PayloadHashMismatch` unaffected (signs over the overridden hash, accepts both codes). **Checks:** Local gofmt/vet/`go test ./gateway/...`/integration-vet all green. CI on PR #41: go-unit ✓, integration ✓ (runs 331 + 332; branch-push run 330 ✓). **Open question:** — **Decisions:** Gated on the auth/Kind/Security blast radius and waited for the owner's A/B pick before touching code. Used `Refs #39` (not `Closes`) so the merge does not auto-close — the owner closes the issue. **Next:** Owner-driven — review and merge PR #41 (human merge only; never merge here). If the owner comments with changes, resume: re-read thread, set `claude/working`, adjust on the branch, re-push, re-watch CI. If the owner says to close, close #39 and clean up the branch/PR. </details>

developer added

and removed

labels 2026-05-24 00:29:01 +00:00

owner commented

2026-05-24 00:31:12 +00:00

Конечно, вариант А :) Спасибо!

developer added

and removed

labels 2026-05-24 00:37:44 +00:00

developer referenced this issue from a commit

2026-05-24 00:42:17 +00:00

fix(gateway): verify client signature before payload_hash

~~developer referenced this issue 2026-05-24 00:42:37 +00:00~~

fix(gateway): verify client signature before payload_hash #41

developer added

and removed

labels 2026-05-24 00:46:25 +00:00

developer commented

2026-05-24 00:46:43 +00:00

@owner готово, вариант А уехал в PR #41 :)

Что сделала

Поменяла порядок в auth-цепочке так, чтобы подпись проверялась раньше payload_hash — теперь код, README, flows.md и ARCHITECTURE.md §15 говорят одно и то же (подпись → hash).

gateway/internal/grpcapi/server.go — поменяла местами два декоратора: newSignatureVerifyingService теперь оборачивает newPayloadHashVerifyingService, то есть подпись идёт первой. Это буквально перестановка двух строк — декораторы независимы (оба лишь читают envelope/сессию из контекста, ничего друг другу не кладут).
payload_hash.go / signature.go — поправила doc-комментарии под новый порядок.
gateway/README.md (шаги 5↔6) и gateway/docs/flows.md (mermaid) — подтянула к signature→hash.
payload_hash_integration_test.go — переписала 4 unit-теста: теперь они переподписывают запрос поверх испорченного hash, чтобы подпись оставалась валидной и срабатывал именно hash-гейт (иначе после перестановки первым падал бы signature-гейт с UNAUTHENTICATED).

Побочный эффект (как и обсуждали)

Запрос с подделанным payload_hash, но подписью над исходным hash, теперь отлетает на проверке подписи → UNAUTHENTICATED "invalid request signature", а не INVALID_ARGUMENT. На безопасность это не влияет — оба отказа происходят до обработки payload.

ARCHITECTURE.md §15 трогать не пришлось — он уже говорил signature→hash, я просто привела к нему три остальных источника. FUNCTIONAL.md порядок не фиксирует, так что и русское зеркало не тронуто.

Проверки (всё зелёное)

Локально: gofmt, go vet ./gateway/internal/grpcapi/, go test -count=1 ./gateway/..., go vet ./integration/....
CI на PR #41: go-unit ✓, integration ✓.

Мержить не буду — PR ждёт твоего ревью. Issue оставляю открытой, закроешь сама, когда всё устроит. Спасибо!

@owner готово, вариант А уехал в PR #41 :) ### Что сделала Поменяла порядок в auth-цепочке так, чтобы **подпись проверялась раньше `payload_hash`** — теперь код, README, flows.md и ARCHITECTURE.md §15 говорят одно и то же (подпись → hash). - `gateway/internal/grpcapi/server.go` — поменяла местами два декоратора: `newSignatureVerifyingService` теперь оборачивает `newPayloadHashVerifyingService`, то есть подпись идёт первой. Это буквально перестановка двух строк — декораторы независимы (оба лишь читают envelope/сессию из контекста, ничего друг другу не кладут). - `payload_hash.go` / `signature.go` — поправила doc-комментарии под новый порядок. - `gateway/README.md` (шаги 5↔6) и `gateway/docs/flows.md` (mermaid) — подтянула к signature→hash. - `payload_hash_integration_test.go` — переписала 4 unit-теста: теперь они переподписывают запрос поверх испорченного hash, чтобы подпись оставалась валидной и срабатывал именно hash-гейт (иначе после перестановки первым падал бы signature-гейт с UNAUTHENTICATED). ### Побочный эффект (как и обсуждали) Запрос с подделанным `payload_hash`, но подписью над исходным hash, теперь отлетает на проверке подписи → `UNAUTHENTICATED "invalid request signature"`, а не `INVALID_ARGUMENT`. На безопасность это не влияет — оба отказа происходят до обработки payload. `ARCHITECTURE.md` §15 трогать не пришлось — он уже говорил signature→hash, я просто привела к нему три остальных источника. `FUNCTIONAL.md` порядок не фиксирует, так что и русское зеркало не тронуто. ### Проверки (всё зелёное) - Локально: `gofmt`, `go vet ./gateway/internal/grpcapi/`, `go test -count=1 ./gateway/...`, `go vet ./integration/...`. - CI на PR #41: go-unit ✓, integration ✓. Мержить не буду — PR ждёт твоего ревью. Issue оставляю открытой, закроешь сама, когда всё устроит. Спасибо!

developer referenced a pull request that will close this issue

2026-05-24 06:22:48 +00:00

fix(gateway): verify client signature before payload_hash #41

developer closed this issue

2026-05-24 06:25:15 +00:00

developer added

and removed

labels 2026-05-24 07:27:25 +00:00