61 lines
2.6 KiB
Markdown
61 lines
2.6 KiB
Markdown
# Migration vers Cookies httpOnly - Plan d'Action
|
|
|
|
## 🎯 Objectif
|
|
Migrer le stockage des tokens d'authentification de `localStorage` vers des cookies `httpOnly` pour améliorer la sécurité contre les attaques XSS.
|
|
|
|
## 📋 Architecture Cible
|
|
|
|
### Tokens
|
|
- **Access Token** : Stocké en mémoire uniquement (pas de localStorage, pas de cookie)
|
|
- **Refresh Token** : Stocké dans un cookie `httpOnly`, `secure`, `sameSite=strict`
|
|
|
|
### Sécurité
|
|
- ✅ Protection XSS : Les cookies httpOnly ne sont pas accessibles via JavaScript
|
|
- ✅ Protection CSRF : SameSite=strict empêche l'envoi cross-site
|
|
- ✅ HTTPS only : Secure flag force HTTPS en production
|
|
|
|
## 🔄 Plan de Migration
|
|
|
|
### Phase 1 : Préparation Frontend (✅ Complétée)
|
|
1. ✅ Activer `withCredentials` dans `apiClient` pour envoyer les cookies
|
|
2. ✅ Activer `withCredentials` dans `refreshClient` pour le refresh token
|
|
3. ✅ Adapter `tokenStorage.ts` pour stocker access_token en mémoire (avec fallback localStorage)
|
|
4. ✅ Créer `cookieService.ts` pour gérer les cookies non-httpOnly si nécessaire
|
|
5. ✅ Adapter `tokenRefresh.ts` pour détecter automatiquement les cookies httpOnly
|
|
6. ✅ Tests mis à jour et passants
|
|
|
|
### Phase 2 : Backend (À faire)
|
|
1. ⏳ Modifier les endpoints `/auth/login` et `/auth/refresh` pour setter des cookies httpOnly
|
|
2. ⏳ Implémenter CSRF protection côté backend
|
|
3. ⏳ Configurer SameSite cookies
|
|
|
|
### Phase 3 : Tests & Validation
|
|
1. ⏳ Tester la persistance de session
|
|
2. ⏳ Tester le refresh automatique
|
|
3. ⏳ Tester le logout
|
|
4. ⏳ Tester la compatibilité avec les tests E2E
|
|
|
|
## 🔧 Changements Techniques
|
|
|
|
### 1. Service de Gestion des Cookies
|
|
Créer `cookieService.ts` pour gérer les cookies côté client (uniquement pour les cookies non-httpOnly si nécessaire).
|
|
|
|
### 2. Modification de `tokenStorage.ts`
|
|
- Supprimer le stockage du refresh token dans localStorage
|
|
- Garder uniquement l'access token en mémoire
|
|
- Le refresh token sera géré automatiquement par le navigateur via cookies
|
|
|
|
### 3. Modification de `apiClient.ts`
|
|
- Activer `withCredentials: true` pour envoyer les cookies automatiquement
|
|
- Supprimer l'envoi manuel du refresh token dans les headers
|
|
|
|
### 4. Modification de `auth.ts`
|
|
- Ne plus stocker le refresh token dans localStorage après login
|
|
- Le backend settera le cookie automatiquement
|
|
|
|
## ⚠️ Notes Importantes
|
|
|
|
- **Compatibilité** : Le système actuel continuera de fonctionner jusqu'à ce que le backend soit prêt
|
|
- **Migration progressive** : On peut activer les cookies progressivement
|
|
- **Tests** : Tous les tests doivent être mis à jour pour gérer les cookies
|
|
|