GH-2 # add frontend

submitPassword cannot be referenced by the HTML

Author: Hugo-C

.gitignore

@@ -0,0 +1,2 @@
+**/bundle.js
+package-lock.json

README.md

@@ -15,7 +15,7 @@ Une CI basique sera mise en place. Uniquement la branche master sera utilisée.
 
 Les conventions de code suivi sont:
 * [PEP8](https://pep8.org/) pour Python
-* TODO
+* [Airbnb](https://github.com/airbnb/javascript) pour JavaScript
 
 ### Partie fuite de mot de passe
 
@@ -59,6 +59,9 @@ J'utilise un outils de profiling (en l'occurence Sentry car je l'avais sous la m
 
 Plusieurs solutions sont envisagées. La première est de pousser les données en batch, ce qui nécessite avec `sadd` de pousser plusieurs password qui ont le même prefix. Cette solution parait compliqué à mettre en place, car elle oblige a stocker beaucoups d'informations en mémoire. D'autres solutions comme utiliser de l'asynchrone, ou encore du multiprocessing implique une forte complexité supplémentaire. Par exemple découper le fichier en entrée en une centaine de mini fichiers pour être traité par des "workers" différents. Heureusement Redis fournit un système de batch de commande via [les pipelines](https://redis.io/docs/latest/develop/use/pipelining/) qui permet d'avoir des commandes différentes dans un seul appel. Après quelques essaie, des batchs de 200 commandes semble être le bon compromis qui permet de faire 100k password en 3s, ce qui est plus acceptable.
 
+---
+
+Pour la partie frontend, je n'ai pas réussie à mon grand regret à utiliser la librairie npm dans le navigateur d'une manière compatible avec Jest. Je me suis rabattu sur `browserify` puis sur `esbuild`.
 
 ### Partie génération de mot de passe
 
@@ -78,7 +81,8 @@ TODO
 
 ### Setup dev
 
-`poetry sync` permet d'installer les dépendances, justfile (voir [ici pour l'installation](https://github.com/casey/just?tab=readme-ov-file#cross-platform)) permet de faire tourner les tests et le linter.
+`poetry sync` permet d'installer les dépendances, justfile (voir [ici pour l'installation](https://github.com/casey/just?tab=readme-ov-file#cross-platform)) permet de faire tourner les tests et le linter.  
+`npm install` permet d'installer les dépendances coté frontend.
 
 ## Limite et améliorations possible
 

package.json

@@ -0,0 +1,14 @@
+{
+  "type": "module",
+  "scripts": {
+    "build": "esbuild src/static/check_password_leak.js --bundle --outfile=src/static/bundle.js",
+    "test": "node --experimental-vm-modules node_modules/.bin/jest"
+  },
+  "devDependencies": {
+    "jest": "^29.7.0"
+  },
+  "dependencies": {
+    "esbuild": "^0.24.2",
+    "xxhash-wasm": "^1.1.0"
+  }
+}

src/api/main.py

@@ -1,12 +1,12 @@
+from os import path
+
 from fastapi import FastAPI
-from starlette.responses import RedirectResponse
+from starlette.staticfiles import StaticFiles
 
 from .router import v1_router
 
+STATIC_DIRECTORY_PATH = path.join(path.dirname(path.dirname(path.abspath(__file__))), "static")
+
 app = FastAPI()
 app.include_router(v1_router)
-
-
-@app.get("/")
-async def root() -> RedirectResponse:
-    return RedirectResponse(url="/docs")
+app.mount("/", StaticFiles(directory=STATIC_DIRECTORY_PATH, html=True), name="static")

src/static/check_password_leak.js

@@ -0,0 +1,15 @@
+import xxhash from "xxhash-wasm";
+
+function submitPassword() {
+    let password = document.getElementById("submittedPassword").value;
+    hashPrefix(password).then(prefix => alert(prefix));
+}
+
+async function hashPrefix(password) {
+    const { h32, h64 } = await xxhash();
+    let digest =  h32(password);
+    let hexadecimal_digest = digest.toString(16)
+    return hexadecimal_digest.substring(0, 5)
+}
+
+export {hashPrefix};

src/static/favicon.ico

@@ -0,0 +1,33 @@
+<!DOCTYPE html>
+<html lang="en">
+<head>
+    <meta charset="UTF-8">
+    <title>HIBP - clone</title>
+    <link href="main.css" rel="stylesheet"/>
+    <script type="module" src="bundle.js"></script>
+</head>
+<body>
+<div class="sidenav">
+    <a href="/">Test de la fuite de mot de passe</a>  <!-- TODO highlight current page -->
+    <a href="/">Génération de mot de passe</a>
+    <a href="/docs">Documentation OpenAPI</a>
+</div>
+
+<div class="content">
+    <h2>Test de la fuite de mot de passe</h2>
+    <p>Cette page permet de tester si votre mot de passe est présent dans la base <a
+            href="https://en.wikipedia.org/wiki/RockYou#Data_breach" target="_blank">RockYou</a>.</p>
+    <input id=submittedPassword/>
+    <input type="button" onclick="submitPassword()" value="Tester">
+    <p>Le mot de passe n'est pas envoyé au serveur, uniquement les premiers caractères de son hash.</p>
+</div>
+
+<script>
+    document.addEventListener("keyup", ({key}) => {
+        if (key === "Enter") {
+            submitPassword()
+        }
+    })
+</script>
+</body>
+</html>

src/static/index.html

@@ -0,0 +1,43 @@
+/* Repris de https://www.w3schools.com/css/tryit.asp?filename=trycss_template4 */
+
+* {
+  box-sizing: border-box;
+}
+
+body {
+  margin: 0;
+  font-family: Arial, Helvetica, sans-serif;
+}
+
+/* Style the side navigation */
+.sidenav {
+  height: 100%;
+  width: 200px;
+  position: fixed;
+  z-index: 1;
+  top: 0;
+  left: 0;
+  background-color: #111;
+  overflow-x: hidden;
+}
+
+
+/* Side navigation links */
+.sidenav a {
+  color: white;
+  padding: 16px;
+  text-decoration: none;
+  display: block;
+}
+
+/* Change color on hover */
+.sidenav a:hover {
+  background-color: #ddd;
+  color: black;
+}
+
+/* Style the content */
+.content {
+  margin-left: 200px;
+  padding-left: 20px;
+}

src/static/main.css

@@ -0,0 +1,7 @@
+import { hashPrefix } from "../static/check_password_leak.js";
+
+test('hash prefix is identical to Python version', async () => {
+    let prefix = await hashPrefix("rockyou");
+
+    expect(prefix).toBe("5c283");
+});