veza/apps/web/MIGRATION_HTTPONLY_COOKIES.md

# Migration vers Cookies httpOnly - Plan d'Action

## 🎯 Objectif
Migrer le stockage des tokens d'authentification de `localStorage` vers des cookies `httpOnly` pour améliorer la sécurité contre les attaques XSS.

## 📋 Architecture Cible

### Tokens
- **Access Token** : Stocké en mémoire uniquement (pas de localStorage, pas de cookie)
- **Refresh Token** : Stocké dans un cookie `httpOnly`, `secure`, `sameSite=strict`

### Sécurité
- ✅ Protection XSS : Les cookies httpOnly ne sont pas accessibles via JavaScript
- ✅ Protection CSRF : SameSite=strict empêche l'envoi cross-site
- ✅ HTTPS only : Secure flag force HTTPS en production

## 🔄 Plan de Migration

### Phase 1 : Préparation Frontend (✅ Complétée)
1. ✅ Activer `withCredentials` dans `apiClient` pour envoyer les cookies
2. ✅ Activer `withCredentials` dans `refreshClient` pour le refresh token
3. ✅ Adapter `tokenStorage.ts` pour stocker access_token en mémoire (avec fallback localStorage)
4. ✅ Créer `cookieService.ts` pour gérer les cookies non-httpOnly si nécessaire
5. ✅ Adapter `tokenRefresh.ts` pour détecter automatiquement les cookies httpOnly
6. ✅ Tests mis à jour et passants

### Phase 2 : Backend (À faire)
1. ⏳ Modifier les endpoints `/auth/login` et `/auth/refresh` pour setter des cookies httpOnly
2. ⏳ Implémenter CSRF protection côté backend
3. ⏳ Configurer SameSite cookies

### Phase 3 : Tests & Validation
1. ⏳ Tester la persistance de session
2. ⏳ Tester le refresh automatique
3. ⏳ Tester le logout
4. ⏳ Tester la compatibilité avec les tests E2E

## 🔧 Changements Techniques

### 1. Service de Gestion des Cookies
Créer `cookieService.ts` pour gérer les cookies côté client (uniquement pour les cookies non-httpOnly si nécessaire).

### 2. Modification de `tokenStorage.ts`
- Supprimer le stockage du refresh token dans localStorage
- Garder uniquement l'access token en mémoire
- Le refresh token sera géré automatiquement par le navigateur via cookies

### 3. Modification de `apiClient.ts`
- Activer `withCredentials: true` pour envoyer les cookies automatiquement
- Supprimer l'envoi manuel du refresh token dans les headers

### 4. Modification de `auth.ts`
- Ne plus stocker le refresh token dans localStorage après login
- Le backend settera le cookie automatiquement

## ⚠️ Notes Importantes

- **Compatibilité** : Le système actuel continuera de fonctionner jusqu'à ce que le backend soit prêt
- **Migration progressive** : On peut activer les cookies progressivement
- **Tests** : Tous les tests doivent être mis à jour pour gérer les cookies
chore: resolve property mismatches and type conflicts for snake_case alignment 2026-01-07 10:15:48 +00:00			`# Migration vers Cookies httpOnly - Plan d'Action`

			`## 🎯 Objectif`
			Migrer le stockage des tokens d'authentification de `localStorage` vers des cookies `httpOnly` pour améliorer la sécurité contre les attaques XSS.

			`## 📋 Architecture Cible`

			`### Tokens`
			`- Access Token : Stocké en mémoire uniquement (pas de localStorage, pas de cookie)`
			- Refresh Token : Stocké dans un cookie `httpOnly`, `secure`, `sameSite=strict`

			`### Sécurité`
			`- ✅ Protection XSS : Les cookies httpOnly ne sont pas accessibles via JavaScript`
			`- ✅ Protection CSRF : SameSite=strict empêche l'envoi cross-site`
			`- ✅ HTTPS only : Secure flag force HTTPS en production`

			`## 🔄 Plan de Migration`

			`### Phase 1 : Préparation Frontend (✅ Complétée)`
			1. ✅ Activer `withCredentials` dans `apiClient` pour envoyer les cookies
			2. ✅ Activer `withCredentials` dans `refreshClient` pour le refresh token
			3. ✅ Adapter `tokenStorage.ts` pour stocker access_token en mémoire (avec fallback localStorage)
			4. ✅ Créer `cookieService.ts` pour gérer les cookies non-httpOnly si nécessaire
			5. ✅ Adapter `tokenRefresh.ts` pour détecter automatiquement les cookies httpOnly
			`6. ✅ Tests mis à jour et passants`

			`### Phase 2 : Backend (À faire)`
			1. ⏳ Modifier les endpoints `/auth/login` et `/auth/refresh` pour setter des cookies httpOnly
			`2. ⏳ Implémenter CSRF protection côté backend`
			`3. ⏳ Configurer SameSite cookies`

			`### Phase 3 : Tests & Validation`
			`1. ⏳ Tester la persistance de session`
			`2. ⏳ Tester le refresh automatique`
			`3. ⏳ Tester le logout`
			`4. ⏳ Tester la compatibilité avec les tests E2E`

			`## 🔧 Changements Techniques`

			`### 1. Service de Gestion des Cookies`
			Créer `cookieService.ts` pour gérer les cookies côté client (uniquement pour les cookies non-httpOnly si nécessaire).

			### 2. Modification de `tokenStorage.ts`
			`- Supprimer le stockage du refresh token dans localStorage`
			`- Garder uniquement l'access token en mémoire`
			`- Le refresh token sera géré automatiquement par le navigateur via cookies`

			### 3. Modification de `apiClient.ts`
			- Activer `withCredentials: true` pour envoyer les cookies automatiquement
			`- Supprimer l'envoi manuel du refresh token dans les headers`

			### 4. Modification de `auth.ts`
			`- Ne plus stocker le refresh token dans localStorage après login`
			`- Le backend settera le cookie automatiquement`

			`## ⚠️ Notes Importantes`

			`- Compatibilité : Le système actuel continuera de fonctionner jusqu'à ce que le backend soit prêt`
			`- Migration progressive : On peut activer les cookies progressivement`
			`- Tests : Tous les tests doivent être mis à jour pour gérer les cookies`