fix(auth): Add-credential-Challenges pro Versuch und single-use

Speichert Challenges nach challenge statt userId für parallele Flows und invalidiert sie vor der Verifikation, damit fehlgeschlagene Versuche keine Leaks hinterlassen. Co-authored-by: Cursor <cursoragent@cursor.com>
2026-05-31 09:25:02 +02:00
parent 75eba362d6
commit 6ad75ff947
2 changed files with 16 additions and 10 deletions
@@ -613,7 +613,7 @@ export async function addPasskey(): Promise<void> {

  await apiJson(`${API_BASE}/add-credential-verify`, {
    method: 'POST',
-    body: JSON.stringify({ credentialResponse })
+    body: JSON.stringify({ credentialResponse, challenge: options.challenge })
  })

  const masterKey = getActiveMasterKey()