Feat 21 Two Factor Authentication

.env

@@ -63,4 +63,4 @@ PG_STATS_MIN_AGE_MS=1000
 #   Intended maximum number of long‑running active queries to log.
 #   NOTE: Current SQL has a hard LIMIT 10; change only matters if code is updated
 #   to parameterize the LIMIT.
-PG_STATS_TOP_N=10
+PG_STATS_TOP_N=10

backend/db/migrations/20260126144237-extend-user.js

@@ -0,0 +1,79 @@
+"use strict";
+
+const columns = [
+  // Email OTP for 2FA
+  {
+    name: "twoFactorOtp",
+    type: "STRING",
+    allowNull: true,
+    defaultValue: null,
+  },
+  {
+    name: "twoFactorOtpExpiresAt",
+    type: "DATE",
+    allowNull: true,
+    defaultValue: null,
+  },
+  // LDAP support
+  {
+    name: "ldapUsername",
+    type: "STRING",
+    allowNull: true,
+    defaultValue: null,
+  },
+  // ORCID support
+  {
+    name: "orcidId",
+    type: "STRING",
+    allowNull: true,
+    defaultValue: null,
+    unique: true,
+  },
+  // SAML support
+  {
+    name: "samlNameId",
+    type: "STRING",
+    allowNull: true,
+    defaultValue: null,
+    unique: true,
+  },
+  // Multi-method 2FA configuration
+  {
+    name: "twoFactorMethods",
+    type: "JSON",
+    allowNull: false,
+    defaultValue: [],
+  },
+  {
+    name: "totpSecret",
+    type: "STRING",
+    allowNull: true,
+    defaultValue: null,
+  },
+];
+
+/** @type {import('sequelize-cli').Migration} */
+module.exports = {
+  async up(queryInterface, Sequelize) {
+    await queryInterface.changeColumn("user", "email", {
+      type: Sequelize.STRING,
+      allowNull: true,
+      unique: true
+    });
+
+    for (const column of columns) {
+      await queryInterface.addColumn("user", column.name, {
+        type: Sequelize[column.type],
+        defaultValue: column.defaultValue,
+        allowNull: column.allowNull,
+        ...(column.unique ? { unique: true } : {}),
+      });
+    }
+  },
+
+  async down(queryInterface, Sequelize) {
+    for (const column of columns) {
+      await queryInterface.removeColumn("user", column.name);
+    }
+  },
+};

backend/db/migrations/20260223125239-extend-setting-auth_methods_2fa.js

@@ -0,0 +1,154 @@
+"use strict";
+
+const settings = [
+    {
+        key: "system.auth.orcid.enabled",
+        type: "boolean",
+        value: false,
+        description: "Enable ORCID login flow"
+    },
+    {
+        key: "system.auth.ldap.enabled",
+        type: "boolean",
+        value: false,
+        description: "Enable LDAP login flow"
+    },
+    {
+        key: "system.auth.saml.enabled",
+        type: "boolean",
+        value: false,
+        description: "Enable SAML login flow"
+    },
+    {
+        key: "system.auth.local.2fa.required",
+        type: "boolean",
+        value: false,
+        description: "Require 2FA setup for local login users"
+    },
+    {
+        key: "system.auth.orcid.2fa.required",
+        type: "boolean",
+        value: false,
+        description: "Require 2FA setup for ORCID login users"
+    },
+    {
+        key: "system.auth.ldap.2fa.required",
+        type: "boolean",
+        value: false,
+        description: "Require 2FA setup for LDAP login users"
+    },
+    {
+        key: "system.auth.saml.2fa.required",
+        type: "boolean",
+        value: false,
+        description: "Require 2FA setup for SAML login users"
+    },
+    {
+        key: "system.auth.redirect.baseUrl",
+        type: "string",
+        value: "http://localhost:3000",
+        description: "Frontend base URL for authentication redirects (login success, OAuth callback, and 2FA verification pages)"
+    },
+    {
+        key: "system.auth.orcid.clientId",
+        type: "string",
+        value: "",
+        description: "ORCID OAuth client id (changes require a restart of the server)",
+        onlyAdmin: true
+    },
+    {
+        key: "system.auth.orcid.clientSecret",
+        type: "string",
+        value: "",
+        description: "ORCID OAuth client secret (changes require a restart of the server)",
+        onlyAdmin: true
+    },
+    {
+        key: "system.auth.orcid.callbackUrl",
+        type: "string",
+        value: "",
+        description: "ORCID callback URL (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.orcid.sandbox",
+        type: "boolean",
+        value: true,
+        description: "Use ORCID sandbox mode (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.ldap.url",
+        type: "string",
+        value: "",
+        description: "LDAP server URL (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.ldap.bindDN",
+        type: "string",
+        value: "",
+        description: "LDAP bind DN (changes require a restart of the server)",
+        onlyAdmin: true
+    },
+    {
+        key: "system.auth.ldap.bindCredentials",
+        type: "string",
+        value: "",
+        description: "LDAP bind password (changes require a restart of the server)",
+        onlyAdmin: true
+    },
+    {
+        key: "system.auth.ldap.searchBase",
+        type: "string",
+        value: "",
+        description: "LDAP user search base (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.ldap.searchFilter",
+        type: "string",
+        value: "(uid={{username}})",
+        description: "LDAP search filter template (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.saml.entryPoint",
+        type: "string",
+        value: "",
+        description: "SAML identity provider entry point (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.saml.issuer",
+        type: "string",
+        value: "",
+        description: "SAML service provider issuer (changes require a restart of the server)"
+    },
+    {
+        key: "system.auth.saml.cert",
+        type: "text",
+        value: "",
+        description: "SAML identity provider certificate (changes require a restart of the server)",
+        onlyAdmin: true
+    },
+    {
+        key: "system.auth.saml.callbackUrl",
+        type: "string",
+        value: "",
+        description: "SAML callback URL (changes require a restart of the server)"
+    },
+];
+
+/** @type {import('sequelize-cli').Migration} */
+module.exports = {
+    async up(queryInterface, Sequelize) {
+        await queryInterface.bulkInsert("setting",
+            settings.map((setting) => ({
+                ...setting,
+                createdAt: new Date(),
+                updatedAt: new Date(),
+            })),
+        );
+    },
+
+    async down(queryInterface, Sequelize) {
+        await queryInterface.bulkDelete("setting", {
+            key: settings.map((setting) => setting.key)
+        }, {});
+    }
+};

backend/db/migrations/20260301134602-extend-setting-terms_2fa_email.js

@@ -0,0 +1,134 @@
+"use strict";
+
+const previousTermsTemplate = {
+  ops: [
+    { insert: "Einwilligungserklärung\n", attributes: { header: 2 } },
+    { insert: "Ich willige ein, dass meine personenbezogenen Daten (z. B. Name, Benutzerkennung, eingereichte Inhalte, Bewertungen, Interaktionen und IP-Adresse) zum Zweck der Durchführung der Anwendung verarbeitet werden dürfen. Zusätzlich willige ich in die Verarbeitung meiner personenbezogenen Daten für Forschungszwecke ein, sofern ich separat zugestimmt habe.\n\n" },
+
+    { insert: "Informationen und Datenschutzerklärung\n", attributes: { header: 2 } },
+    { insert: "Die Datenverarbeitung erfolgt unter Beachtung geltender Datenschutzgesetze (z. B. DSGVO). Alle Daten werden ausschließlich zu den im Informationsblatt beschriebenen Zwecken verwendet.\n\n" },
+
+    { insert: "1. Bezeichnung der Verarbeitungstätigkeit\n", attributes: { header: 3 } },
+    { insert: "Verarbeitung personenbezogener Daten zur Durchführung der Anwendung und optional zur wissenschaftlichen Auswertung von Nutzungsverhalten und Feedback.\n\n" },
+
+    { insert: "2. Datenverantwortlicher\n", attributes: { header: 3 } },
+    { insert: "Verantwortliche Organisation:\n", attributes: { bold: true } },
+    { insert: "[Name der Organisation]\n[Adresse]\n[E-Mail-Adresse oder Kontaktlink]\n\n" },
+
+    { insert: "3. Datenschutzbeauftragter\n", attributes: { header: 3 } },
+    { insert: "[Name/Titel des Datenschutzbeauftragten]\n[Organisation oder Kontaktstelle]\n[Adresse]\n[E-Mail oder Datenschutzlink]\n\n" },
+
+    { insert: "4. Zweck(e) und Rechtsgrundlage(n) der Verarbeitung\n", attributes: { header: 3 } },
+    { insert: "Zwecke:\n", attributes: { bold: true } },
+    { insert: "Bewertung und Durchführung der Anwendung\n", attributes: { list: "bullet" } },
+    { insert: "Eindeutige Zuordnung über Benutzerkennungen\n", attributes: { list: "bullet" } },
+    { insert: "Nutzung anonymisierter Daten für Forschung und Publikation (bei Zustimmung)\n", attributes: { list: "bullet" } },
+    { insert: "Analyse des Nutzungsverhaltens (z. B. Klicks, Navigation, Zeitstempel)\n", attributes: { list: "bullet" } },
+    { insert: "Technisch notwendige IP-Verarbeitung (nicht gespeichert)\n", attributes: { list: "bullet" } },
+    { insert: "\nRechtsgrundlage:\n", attributes: { bold: true } },
+    { insert: "Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)\n\n" },
+
+    { insert: "5. Dauer der Speicherung\n", attributes: { header: 3 } },
+    { insert: "Personenbezogene Daten werden für einen definierten Zeitraum (z. B. zwei Jahre nach Abschluss) gespeichert und anschließend gelöscht oder anonymisiert.\n\n" },
+
+    { insert: "6. Rechte der betroffenen Personen\n", attributes: { header: 3 } },
+    { insert: "Recht auf Auskunft\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Berichtigung\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Löschung oder Einschränkung\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Widerspruch\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Datenübertragbarkeit\n", attributes: { list: "bullet" } },
+    { insert: "Beschwerderecht bei einer Aufsichtsbehörde\n", attributes: { list: "bullet" } },
+    { insert: "\n" },
+
+    { insert: "7. Widerrufsrecht\n", attributes: { header: 3 } },
+    { insert: "Die Einwilligung kann jederzeit widerrufen werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Nach Anonymisierung ist keine nachträgliche Löschung mehr möglich.\n\n" },
+
+    { insert: "8. Veröffentlichung anonymisierter Daten\n", attributes: { header: 3 } },
+    { insert: "Anonymisierte Ergebnisse können in wissenschaftlichen Publikationen veröffentlicht werden. Die Daten werden unter einer offenen Lizenz (z. B. CC BY-NC 4.0) in geeigneten Repositorien veröffentlicht.\n" }
+  ]
+};
+
+const updatedTermsTemplate = {
+  ops: [
+    { insert: "Einwilligungserklärung\n", attributes: { header: 2 } },
+    { insert: "Ich willige ein, dass meine personenbezogenen Daten (z. B. Name, Benutzerkennung, eingereichte Inhalte, Bewertungen, Interaktionen und IP-Adresse) zum Zweck der Durchführung der Anwendung verarbeitet werden dürfen. Zusätzlich willige ich in die Verarbeitung meiner personenbezogenen Daten für Forschungszwecke ein, sofern ich separat zugestimmt habe.\n\n" },
+
+    { insert: "Informationen und Datenschutzerklärung\n", attributes: { header: 2 } },
+    { insert: "Die Datenverarbeitung erfolgt unter Beachtung geltender Datenschutzgesetze (z. B. DSGVO). Alle Daten werden ausschließlich zu den im Informationsblatt beschriebenen Zwecken verwendet.\n\n" },
+
+    { insert: "1. Bezeichnung der Verarbeitungstätigkeit\n", attributes: { header: 3 } },
+    { insert: "Verarbeitung personenbezogener Daten zur Durchführung der Anwendung und optional zur wissenschaftlichen Auswertung von Nutzungsverhalten und Feedback.\n\n" },
+
+    { insert: "2. Datenverantwortlicher\n", attributes: { header: 3 } },
+    { insert: "Verantwortliche Organisation:\n", attributes: { bold: true } },
+    { insert: "[Name der Organisation]\n[Adresse]\n[E-Mail-Adresse oder Kontaktlink]\n\n" },
+
+    { insert: "3. Datenschutzbeauftragter\n", attributes: { header: 3 } },
+    { insert: "[Name/Titel des Datenschutzbeauftragten]\n[Organisation oder Kontaktstelle]\n[Adresse]\n[E-Mail oder Datenschutzlink]\n\n" },
+
+    { insert: "4. Zweck(e) und Rechtsgrundlage(n) der Verarbeitung\n", attributes: { header: 3 } },
+    { insert: "Zwecke:\n", attributes: { bold: true } },
+    { insert: "Bewertung und Durchführung der Anwendung\n", attributes: { list: "bullet" } },
+    { insert: "Eindeutige Zuordnung über Benutzerkennungen\n", attributes: { list: "bullet" } },
+    { insert: "Sicherstellung der Kontosicherheit durch Zwei-Faktor-Authentifizierung (2FA), einschließlich Versand einmaliger Verifizierungscodes per E-Mail\n", attributes: { list: "bullet" } },
+    { insert: "Nutzung anonymisierter Daten für Forschung und Publikation (bei Zustimmung)\n", attributes: { list: "bullet" } },
+    { insert: "Analyse des Nutzungsverhaltens (z. B. Klicks, Navigation, Zeitstempel)\n", attributes: { list: "bullet" } },
+    { insert: "Technisch notwendige IP-Verarbeitung (nicht gespeichert)\n", attributes: { list: "bullet" } },
+    { insert: "\nRechtsgrundlage:\n", attributes: { bold: true } },
+    { insert: "Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)\n\n" },
+
+    { insert: "4a. Hinweise zur E-Mail-Verifizierung (2FA)\n", attributes: { header: 3 } },
+    { insert: "Wenn E-Mail-2FA aktiviert ist, werden bei der Anmeldung einmalige Sicherheitscodes an die hinterlegte E-Mail-Adresse gesendet.\n" },
+    { insert: "Verarbeitet werden dabei insbesondere:\n", attributes: { bold: true } },
+    { insert: "E-Mail-Adresse\n", attributes: { list: "bullet" } },
+    { insert: "Zeitpunkt des Versands und Ablaufzeitpunkt des Codes\n", attributes: { list: "bullet" } },
+    { insert: "Technische Metadaten zur Missbrauchs- und Fehlerprävention\n", attributes: { list: "bullet" } },
+    { insert: "Die Codes werden ausschließlich zur Anmeldung und Kontosicherheit verwendet, nicht für Werbung oder Newsletter.\n\n" },
+
+    { insert: "5. Dauer der Speicherung\n", attributes: { header: 3 } },
+    { insert: "Personenbezogene Daten werden für einen definierten Zeitraum (z. B. zwei Jahre nach Abschluss) gespeichert und anschließend gelöscht oder anonymisiert.\n\n" },
+
+    { insert: "6. Rechte der betroffenen Personen\n", attributes: { header: 3 } },
+    { insert: "Recht auf Auskunft\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Berichtigung\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Löschung oder Einschränkung\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Widerspruch\n", attributes: { list: "bullet" } },
+    { insert: "Recht auf Datenübertragbarkeit\n", attributes: { list: "bullet" } },
+    { insert: "Beschwerderecht bei einer Aufsichtsbehörde\n", attributes: { list: "bullet" } },
+    { insert: "\n" },
+
+    { insert: "7. Widerrufsrecht\n", attributes: { header: 3 } },
+    { insert: "Die Einwilligung kann jederzeit widerrufen werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Nach Anonymisierung ist keine nachträgliche Löschung mehr möglich.\n\n" },
+
+    { insert: "8. Veröffentlichung anonymisierter Daten\n", attributes: { header: 3 } },
+    { insert: "Anonymisierte Ergebnisse können in wissenschaftlichen Publikationen veröffentlicht werden. Die Daten werden unter einer offenen Lizenz (z. B. CC BY-NC 4.0) in geeigneten Repositorien veröffentlicht.\n" }
+  ]
+};
+
+module.exports = {
+  async up(queryInterface, Sequelize) {
+    await queryInterface.bulkUpdate(
+      "setting",
+      {
+        value: updatedTermsTemplate,
+        updatedAt: new Date(),
+      },
+      {
+        key: "app.register.terms",
+      },
+    );
+  },
+
+  async down(queryInterface, Sequelize) {
+    await queryInterface.bulkUpdate(
+      "setting",
+      {
+        value: previousTermsTemplate,
+        updatedAt: new Date(),
+      },
+      {
+        key: "app.register.terms",
+      },
+    );
+  },
+};

backend/db/models/user.js

@@ -555,6 +555,20 @@ module.exports = (sequelize, DataTypes) => {
             emailVerificationToken: DataTypes.STRING,
             lastPasswordResetEmailSent: DataTypes.DATE,
             lastVerificationEmailSent: DataTypes.DATE,
+            // Email OTP for 2FA
+            twoFactorOtp: DataTypes.STRING,
+            twoFactorOtpExpiresAt: DataTypes.DATE,
+            // Multi-method 2FA configuration
+            twoFactorMethods: {
+                type: DataTypes.JSON,
+                defaultValue: [],
+            },
+            // TOTP for 2FA
+            totpSecret: DataTypes.STRING,
+            // External login method identifiers
+            orcidId: DataTypes.STRING,
+            ldapUsername: DataTypes.STRING,
+            samlNameId: DataTypes.STRING,
         },
         {
             sequelize,