ordinarthur/rubis
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
rubis/apps/web/src/lib/auth.ts
ordinarthur f33b2dd319
All checks were successful
Build & Deploy Web / build-and-deploy (push) Successful in 1m9s
Details
Build & Deploy API / build-and-deploy (push) Successful in 2m2s
Details
feat(observability): Sentry monitoring API + Web (ADR-024) 
Intégration Sentry SaaS pour error monitoring + replay sur les 2 apps.

API (apps/api) :
- start/sentry.ts : init au plus tôt dans bin/server.ts (avant Ignitor)
  pour capturer les erreurs de bootstrap. No-op si SENTRY_DSN_API absent.
- app/exceptions/handler.ts:report : captureException sur les 5xx avec
  tags { url, method, status } et user.id (PII minimisée). 4xx filtrés
  par beforeSend dans start/sentry.ts (validation, auth invalide = bruit).
- start/env.ts : SENTRY_DSN_API + APP_VERSION optionnels.
- bin/server.ts : import #start/sentry en 1er.
- @sentry/node + @sentry/profiling-node ajoutés au package.json.

Web (apps/web) :
- src/lib/sentry.ts : init au plus tôt dans main.tsx, BrowserTracing +
  Replay (0% session, 100% sur erreur — économie quota free tier).
  maskAllText + blockAllMedia pour privacy par défaut.
- src/lib/auth.ts : Sentry.setUser({ id }) au login, setUser(null) au
  logout (corrélation cross-stack des erreurs front avec un user).
- src/main.tsx : ErrorBoundary autour de l'app avec FallbackError UX.
- vite.config.ts : @sentry/vite-plugin uploads les sourcemaps + les
  SUPPRIME du dist/ final (filesToDeleteAfterUpload) pour ne pas leak
  le code source via nginx en prod. Helper resolveAppVersion() pour
  injecter le sha git en dev (le shell n'étant pas évaluable dans .env).
- src/lib/env.ts : VITE_SENTRY_DSN_WEB + VITE_APP_VERSION optionnels.
- .env.development : VITE_SENTRY_DSN_WEB (préfixé correctement pour
  être exposé par Vite — l'ancienne SENTRY_DSN ne marchait pas).
- @sentry/react + @sentry/vite-plugin ajoutés au package.json.

CI Gitea :
- deploy-api.yml : kubectl set env APP_VERSION=${{ github.sha }}
  runtime → release Sentry trackable au commit pour l'API.
- deploy-web.yml : build-args VITE_SENTRY_DSN_WEB, VITE_APP_VERSION,
  SENTRY_AUTH_TOKEN, SENTRY_ORG injectés depuis les secrets Gitea.
- Dockerfile.web : ARG correspondants + propagation au stage build.

Privacy / sécurité (cf. ADR-024) :
- captureException tags : ctx.route?.pattern (pas l'URL réelle) →
  les codes OAuth (?code=...) et tokens de check-in n'apparaissent
  jamais dans les tags Sentry indexés.
- Sentry user context = user.id UUID seulement, pas d'email/nom.
- Sourcemaps en prod : uploadées à Sentry, supprimées du bundle.
- 4xx filtrées en amont (beforeSend) ET en aval (handler.ts:report).
- DSN public (by-design) commit-able, AUTH_TOKEN secret CI uniquement.

Sample rates (free tier 5K events / 50 replays par mois) :
- traces : 10% prod, 100% dev
- profiles : 100% (sampled par traces)
- replay session : 0% (économie quota)
- replay sur erreur : 100% (debug post-mortem)

Pré-requis runtime à configurer hors-repo :
- Secret K3s rubis-app-secrets : SENTRY_DSN_API
- Secrets Gitea Actions : SENTRY_DSN_WEB, SENTRY_AUTH_TOKEN, SENTRY_ORG

ADR-024 logué dans docs/decisions.md.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-08 13:38:12 +02:00

69 lines
1.7 KiB
TypeScript
Raw Blame History

import { useSyncExternalStore } from "react";
import * as Sentry from "@sentry/react";
import type { User } from "@rubis/shared";
/**
* Auth store — token en mémoire seulement (pas localStorage).
* Le refresh token vit en cookie httpOnly côté API, invisible ici.
* Cf. ADR-017 et /docs/tech/frontend.md §7.
*
* Sentry user context : on attache `user.id` (pas l'email, pas le nom
* — minimisation PII) sur les events Sentry au login, et on clear au
* logout. Permet de corréler une stack trace à un user spécifique sans
* leak d'info personnelle.
*/
type AuthState = {
accessToken: string | null;
user: User | null;
};
class AuthStore {
private state: AuthState = { accessToken: null, user: null };
private listeners = new Set<() => void>();
getSnapshot = (): AuthState => this.state;
get token(): string | null {
return this.state.accessToken;
}
get user(): User | null {
return this.state.user;
}
isAuthenticated(): boolean {
return this.state.accessToken !== null;
}
setSession(accessToken: string, user: User): void {
this.state = { accessToken, user };
Sentry.setUser({ id: user.id });
this.notify();
}
clear(): void {
this.state = { accessToken: null, user: null };
Sentry.setUser(null);
this.notify();
}
subscribe = (fn: () => void): (() => void) => {
this.listeners.add(fn);
return () => {
this.listeners.delete(fn);
};
};
private notify(): void {
this.listeners.forEach((fn) => fn());
}
}
export const authStore = new AuthStore();
/** Hook React pour s'abonner à l'état d'auth. */
export function useAuth(): AuthState {
return useSyncExternalStore(authStore.subscribe, authStore.getSnapshot, authStore.getSnapshot);
}
Reference in New Issue View Git Blame Copy Permalink