5d3408fafa
Pattern hybride (cf. backend.md §7) : access token Bearer 30min en JSON + refresh token 30j en cookie httpOnly `rubis_refresh` géré custom au-dessus d'@adonisjs/auth qui ne ship pas de primitive refresh.
Migration refresh_tokens (uuid id, user_id FK CASCADE, hashed_token unique [SHA-256, 64 chars hex], expires_at, last_used_at nullable, revoked_at nullable, ip_address, user_agent). Index user_id + expires_at.
Service refresh_token.ts :
- issueRefreshToken(user, ctx) : génère 32 bytes random → base64url → hash SHA-256 stocké, plain dans le cookie httpOnly + secure (en prod) + sameSite strict + path=/api/v1/auth (le browser n'envoie le cookie que sur les routes auth, pas chaque requête API).
- consumeRefreshToken(ctx) : lookup par hash, validation expiry/revoked. Si on présente un token DÉJÀ révoqué, panic mode : tous les refresh tokens actifs du user sont invalidés (signal de vol — le vrai propriétaire devra se re-logger).
- revokeCurrentRefreshToken / revokeAllForUser pour logout et le panic.
Service auth_session.ts : factorise emitAuthSession(user, ctx) qui crée access + refresh + retourne l'AuthSession. Utilisé par signup / login / refresh — DRY.
Controllers :
- POST /auth/signup : emitAuthSession après tx (org + plans + user).
- POST /auth/login : emitAuthSession après verifyCredentials.
- POST /auth/refresh (nouveau) : consumeRefreshToken → emitAuthSession. Rotation : l'ancien token devient révoqué, le nouveau est posé. SPA-side : appelé au boot pour rehydrater + après 401 silencieux.
- POST /account/logout : User.accessTokens.delete + revokeCurrentRefreshToken + clearCookie.
CORS a déjà credentials: true → le cookie traverse cross-origin si origin allowed.
Bruno : nouvelle requête `Auth/04 Refresh.bru` + folder doc + flow décrit dans README. Bruno honore la cookie jar nativement, donc aucun setup additionnel pour tester.
⚠️ Le contrôleur Refresh est nouveau → le registre Tuyau-généré .adonisjs/server/controllers.ts sera régénéré au prochain `pnpm dev:api` (la regen est un effet de bord du boot Adonis, on ne peut pas la déclencher seule). Avant ce premier boot, `pnpm typecheck` échouera sur l'absence de `controllers.Refresh` dans le registre.
65 lines
1.5 KiB
Plaintext
65 lines
1.5 KiB
Plaintext
meta {
|
|
name: 01 Signup
|
|
type: http
|
|
seq: 1
|
|
}
|
|
|
|
post {
|
|
url: {{baseUrl}}/api/v1/auth/signup
|
|
body: json
|
|
auth: none
|
|
}
|
|
|
|
body:json {
|
|
{
|
|
"email": "{{email}}",
|
|
"password": "{{password}}",
|
|
"fullName": "{{fullName}}"
|
|
}
|
|
|
|
}
|
|
|
|
script:post-response {
|
|
if (res.getStatus() === 201) {
|
|
const session = res.getBody().data;
|
|
bru.setEnvVar("token", session.accessToken);
|
|
bru.setEnvVar("userId", session.user.id);
|
|
bru.setEnvVar("organizationId", session.user.organizationId);
|
|
}
|
|
}
|
|
|
|
tests {
|
|
test("201 Created", function () {
|
|
expect(res.getStatus()).to.equal(201);
|
|
});
|
|
test("AuthSession shape", function () {
|
|
const data = res.getBody().data;
|
|
expect(data).to.have.property("accessToken");
|
|
expect(data).to.have.property("expiresAt");
|
|
expect(data.user).to.have.property("id");
|
|
expect(data.user).to.have.property("organizationId");
|
|
});
|
|
}
|
|
|
|
docs {
|
|
POST /api/v1/auth/signup
|
|
|
|
Crée une organisation vide + un user + duplique les 4 plans pré-fournis
|
|
(Standard B2B / Rapide / Patient / Ferme) dans la même transaction. Émet
|
|
ensuite une AuthSession :
|
|
- access token (TTL 30 min) en JSON
|
|
- refresh token (TTL 30 jours) en cookie httpOnly `rubis_refresh`
|
|
|
|
Le nom de l'organisation reste `""` jusqu'à ce que l'utilisateur passe
|
|
l'onboarding via PATCH /organizations/me.
|
|
|
|
Validation côté API :
|
|
- email format + unique
|
|
- password ≥ 8 chars
|
|
- fullName 2-120 chars
|
|
|
|
Erreurs typiques :
|
|
- 422 validation_failed (email/password/fullName invalides)
|
|
- 422 + `rule: database.unique` si email déjà pris
|
|
}
|