senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/archive/frontend-sessions-2026/RESUME_MIGRATION_HTTPONLY.md
senke 0e7097ed1b chore(cleanup): J1 — purge 220MB debris, archive session docs (complete) 
First-attempt commit 3a5c6e184 only captured the .gitignore change; the
pre-commit hook silently dropped the 343 staged moves/deletes during
lint-staged's "no matching task" path. This commit re-applies the intended
J1 content on top of bec75f143 (which was pushed in parallel).

Uses --no-verify because:
- J1 only touches .md/.json/.log/.png/binaries — zero code that would
  benefit from lint-staged, typecheck, or vitest
- The hook demonstrated it corrupts pure-rename commits in this repo
- Explicitly authorized by user for this one commit

Changes (343 total: 169 deletions + 174 renames):

Binaries purged (~167 MB):
- veza-backend-api/{server,modern-server,encrypt_oauth_tokens,seed,seed-v2}

Generated reports purged:
- 9 apps/web/lint_report*.json (~32 MB)
- 8 apps/web/tsc_*.{log,txt} + ts_*.log (TS error snapshots)
- 3 apps/web/storybook_*.json (1375+ stored errors)
- apps/web/{build_errors*,build_output,final_errors}.txt
- 70 veza-backend-api/coverage*.out + coverage_groups/ (~4 MB)
- 3 veza-backend-api/internal/handlers/*.bak

Root cleanup:
- 54 audit-*.png (visual regression baselines, ~11 MB)
- 9 stale MVP-era scripts (Jan 27, hardcoded v0.101):
  start_{iteration,mvp,recovery}.sh,
  test_{mvp_endpoints,protected_endpoints,user_journey}.sh,
  validate_v0101.sh, verify_logs_setup.sh, gen_hash.py

Session docs archived (not deleted — preserved under docs/archive/):
- 78 apps/web/*.md     → docs/archive/frontend-sessions-2026/
- 43 veza-backend-api/*.md → docs/archive/backend-sessions-2026/
- 53 docs/{RETROSPECTIVE_V,SMOKE_TEST_V,PLAN_V0_,V0_*_RELEASE_SCOPE,
          AUDIT_,PLAN_ACTION_AUDIT,REMEDIATION_PROGRESS}*.md
                        → docs/archive/v0-history/

README.md and CONTRIBUTING.md preserved in apps/web/ and veza-backend-api/.

Note: The .gitignore rules preventing recurrence were already pushed in
3a5c6e184 and remain in place — this commit does not modify .gitignore.

Refs: AUDIT_REPORT.md §11
2026-04-14 17:12:03 +02:00

3.9 KiB
Raw Blame History

Résumé Final - Migration httpOnly Cookies

Implémentation Complétée

Frontend (Phase 1)

  • withCredentials: true activé dans apiClient et refreshClient
  • tokenStorage.ts adapté (mémoire + fallback localStorage)
  • tokenRefresh.ts détecte automatiquement les cookies httpOnly
  • Mode hybride fonctionnel (localStorage ET cookies httpOnly)
  • Tests mis à jour et passants

Backend (Phase 2)

  • Handler Login: Set cookie httpOnly, retire RefreshToken du body
  • Handler Refresh: Lit cookie httpOnly (fallback body JSON), set nouveau cookie
  • Handler Register: Set cookie httpOnly, retire RefreshToken du body
  • Handler Logout: Supprime cookie refresh_token
  • SameSite=Strict configuré pour protection CSRF
  • Secure=true (HTTPS only en production)

🔄 Mode Hybride

Le système fonctionne en mode hybride pour assurer la compatibilité :

  • Refresh Token: Peut venir du cookie httpOnly (nouveau) ou du body JSON (legacy)
  • Frontend: Détecte automatiquement les cookies httpOnly
  • Backend: Accepte les deux formats pendant la transition

📋 Fichiers Modifiés

Frontend

  • apps/web/src/services/api/client.ts - withCredentials activé
  • apps/web/src/services/tokenRefresh.ts - Détection cookies httpOnly
  • apps/web/src/services/tokenStorage.ts - Stockage mémoire + fallback
  • apps/web/src/services/cookieService.ts - Service cookies créé

Backend

  • veza-backend-api/internal/handlers/auth.go - Handlers Login/Refresh/Register/Logout modifiés

🧪 Tests à Créer

Tests Unitaires Backend

  • Test Login avec cookie httpOnly
  • Test Refresh avec cookie httpOnly
  • Test Register avec cookie httpOnly
  • Test Logout supprime cookie
  • Test Refresh avec fallback body JSON (legacy)

Tests d'Intégration

  • Test persistance de session avec cookies
  • Test refresh automatique avec cookies
  • Test logout supprime cookie
  • Test compatibilité avec frontend

Tests E2E

  • Test login → refresh → logout flow complet
  • Test persistance de session après refresh navigateur
  • Test logout supprime cookie et invalide session

🔧 Configuration

Cookies Configurés

  • Name: refresh_token
  • Path: /
  • HttpOnly: true (pas accessible via JavaScript)
  • Secure: true (HTTPS only en production)
  • SameSite: Strict (protection CSRF maximale)
  • MaxAge: 30 jours (90 jours si remember_me)

Variables d'Environnement (Optionnel)

Pour permettre la configuration via variables d'environnement en développement :

COOKIE_SECURE=false        # false en dev local (HTTP)
COOKIE_SAME_SITE=lax       # lax si cross-domain nécessaire
COOKIE_DOMAIN=             # vide pour domaine actuel

📊 Sécurité Améliorée

Avant (localStorage)

  • Accessible via JavaScript (vulnérable XSS)
  • Stocké dans localStorage (accessible par scripts malveillants)
  • Pas de protection CSRF intégrée

Après (httpOnly Cookies)

  • Non accessible via JavaScript (protection XSS)
  • Stocké dans cookie httpOnly (géré par navigateur)
  • SameSite=Strict (protection CSRF)
  • Secure flag (HTTPS only en production)

🎯 Prochaines Étapes

  1. Tests: Créer les tests unitaires et d'intégration
  2. Configuration: Ajouter variables d'environnement si nécessaire
  3. Documentation: Mettre à jour la documentation API
  4. Déploiement: Tester en staging avant production
  5. Monitoring: Surveiller les performances et erreurs après déploiement

📝 Notes Importantes

  1. Secure Flag: Actuellement true (HTTPS only). En développement local avec HTTP, peut nécessiter false.
  2. SameSite: Configuré à Strict pour sécurité maximale. Peut nécessiter Lax si cross-domain nécessaire.
  3. Compatibilité: Le système fonctionne en mode hybride pour assurer la transition en douceur.