senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/veza-backend-api/MIGRATION_HTTPONLY_COOKIES_STATUS.md
senke 8efbb97e6f stabilisation commit A
2026-01-07 19:39:21 +01:00

3.4 KiB
Raw Permalink Blame History

Migration httpOnly Cookies - Statut d'Implémentation

Modifications Complétées

1. Handler Login

  • Fichier: internal/handlers/auth.go
  • Ligne: ~121-133
  • Changements:
    • Cookie httpOnly setter avec http.Cookie et http.SetCookie
    • SameSite=Strict configuré
    • Secure=true (HTTPS only)
    • RefreshToken retiré du body JSON
    • Durée: 30 jours (90 jours si remember_me)

2. Handler Refresh

  • Fichier: internal/handlers/auth.go
  • Ligne: ~295-384
  • Changements:
    • Lecture du refresh token depuis cookie (priorité) ou body JSON (fallback)
    • Cookie httpOnly setter avec nouveau refresh token
    • SameSite=Strict configuré
    • Secure=true (HTTPS only)
    • RefreshToken retiré du body JSON
    • Durée: 30 jours

3. Handler Register

  • Fichier: internal/handlers/auth.go
  • Ligne: ~231-279
  • Changements:
    • Cookie httpOnly setter avec http.Cookie et http.SetCookie
    • SameSite=Strict configuré
    • Secure=true (HTTPS only)
    • RefreshToken retiré du body JSON
    • Durée: 30 jours

4. Handler Logout

  • Fichier: internal/handlers/auth.go
  • Ligne: ~350-390
  • Changements:
    • Cookie refresh_token supprimé (MaxAge=-1)
    • SameSite=Strict configuré
    • Secure=true (HTTPS only)

🔄 Compatibilité

Mode Hybride

Le système fonctionne en mode hybride pour assurer la compatibilité :

  • Refresh Token: Peut venir du cookie httpOnly (nouveau) ou du body JSON (legacy)
  • Frontend: Détecte automatiquement les cookies httpOnly
  • Backend: Accepte les deux formats pendant la transition

Frontend Prêt

  • withCredentials: true activé dans apiClient
  • tokenRefresh.ts détecte automatiquement les cookies httpOnly
  • Mode hybride fonctionnel

⚠️ Notes Importantes

  1. Secure Flag: Actuellement true (HTTPS only). En développement local, peut nécessiter false si HTTP utilisé.
  2. SameSite: Configuré à Strict pour sécurité maximale. Peut nécessiter Lax si cross-domain.
  3. Domain: Laissé vide (domaine actuel). À configurer si cross-domain nécessaire.

🧪 Tests à Créer

Tests Unitaires

  • Test Login avec cookie httpOnly
  • Test Refresh avec cookie httpOnly
  • Test Register avec cookie httpOnly
  • Test Logout supprime cookie
  • Test Refresh avec fallback body JSON (legacy)

Tests d'Intégration

  • Test persistance de session avec cookies
  • Test refresh automatique avec cookies
  • Test logout supprime cookie
  • Test compatibilité avec frontend

Tests E2E

  • Test login → refresh → logout flow complet
  • Test persistance de session après refresh navigateur
  • Test logout supprime cookie et invalide session

📝 Prochaines Étapes

  1. Tests: Créer les tests unitaires et d'intégration
  2. Configuration: Ajouter variables d'environnement pour Secure/SameSite si nécessaire
  3. Documentation: Mettre à jour la documentation API
  4. Déploiement: Tester en staging avant production

🔧 Configuration Environnement (Optionnel)

Pour permettre la configuration via variables d'environnement :

// Dans config ou env
cookieSecure := os.Getenv("COOKIE_SECURE") == "true"
cookieSameSite := http.SameSiteStrictMode
if os.Getenv("COOKIE_SAME_SITE") == "lax" {
    cookieSameSite = http.SameSiteLaxMode
}