Auth: Nur noch Magic Link, Code-Verifizierung entfernt

- /api/auth/verify-code Endpoint entfernt - generate_magic_code() und VerifyCodeRequest entfernt - VerifyCodeLimiter (Brute-Force-Schutz) entfernt (nicht mehr noetig) - E-Mail-Template: Nur noch Anmelde-Link, kein 6-stelliger Code - Login-Seite: Zeigt nach E-Mail-Eingabe Hinweis statt Code-Feld - Magic Link Token-Verifikation via URL bleibt bestehen
2026-03-25 00:01:19 +01:00
Commit 8f1a45c1a9
--- a/src/email_utils/rate_limiter.py
+++ b/src/email_utils/rate_limiter.py
@@ -1,4 +1,4 @@
-"""In-Memory Rate-Limiting fuer Magic-Link-Anfragen und Code-Verifizierung."""
+"""In-Memory Rate-Limiting fuer Magic-Link-Anfragen."""
 import time
 from collections import defaultdict

@@ -51,52 +51,5 @@ class RateLimiter:
        self._ip_requests[ip].append(now)


-class VerifyCodeLimiter:
-    """Rate-Limiter fuer Code-Verifizierung (Brute-Force-Schutz).
-
-    Zaehlt Fehlversuche pro E-Mail und pro IP.
-    Nach max_attempts wird gesperrt bis das Zeitfenster ablaeuft.
-    """
-
-    def __init__(
-        self,
-        max_attempts_per_email: int = 5,
-        max_attempts_per_ip: int = 15,
-        window_seconds: int = 600,  # 10 Minuten (= Magic-Link-Ablaufzeit)
-    ):
-        self.max_per_email = max_attempts_per_email
-        self.max_per_ip = max_attempts_per_ip
-        self.window = window_seconds
-        self._email_failures: dict[str, list[float]] = defaultdict(list)
-        self._ip_failures: dict[str, list[float]] = defaultdict(list)
-
-    def _clean(self, entries: list[float]) -> list[float]:
-        cutoff = time.time() - self.window
-        return [t for t in entries if t > cutoff]
-
-    def check(self, email: str, ip: str) -> tuple[bool, str]:
-        """Prueft ob ein Verifizierungsversuch erlaubt ist."""
-        self._email_failures[email] = self._clean(self._email_failures[email])
-        if len(self._email_failures[email]) >= self.max_per_email:
-            return False, "Zu viele Fehlversuche. Bitte neuen Code anfordern."
-
-        self._ip_failures[ip] = self._clean(self._ip_failures[ip])
-        if len(self._ip_failures[ip]) >= self.max_per_ip:
-            return False, "Zu viele Fehlversuche von dieser IP-Adresse."
-
-        return True, ""
-
-    def record_failure(self, email: str, ip: str):
-        """Zeichnet einen fehlgeschlagenen Versuch auf."""
-        now = time.time()
-        self._email_failures[email].append(now)
-        self._ip_failures[ip].append(now)
-
-    def clear(self, email: str):
-        """Loescht Zaehler nach erfolgreichem Login."""
-        self._email_failures.pop(email, None)
-
-
-# Singleton-Instanzen
+# Singleton-Instanz
 magic_link_limiter = RateLimiter()
-verify_code_limiter = VerifyCodeLimiter()