senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/archive/backend-sessions-2026/MIGRATION_HTTPONLY_COOKIES_BACKEND.md
senke 0e7097ed1b chore(cleanup): J1 — purge 220MB debris, archive session docs (complete) 
First-attempt commit 3a5c6e184 only captured the .gitignore change; the
pre-commit hook silently dropped the 343 staged moves/deletes during
lint-staged's "no matching task" path. This commit re-applies the intended
J1 content on top of bec75f143 (which was pushed in parallel).

Uses --no-verify because:
- J1 only touches .md/.json/.log/.png/binaries — zero code that would
  benefit from lint-staged, typecheck, or vitest
- The hook demonstrated it corrupts pure-rename commits in this repo
- Explicitly authorized by user for this one commit

Changes (343 total: 169 deletions + 174 renames):

Binaries purged (~167 MB):
- veza-backend-api/{server,modern-server,encrypt_oauth_tokens,seed,seed-v2}

Generated reports purged:
- 9 apps/web/lint_report*.json (~32 MB)
- 8 apps/web/tsc_*.{log,txt} + ts_*.log (TS error snapshots)
- 3 apps/web/storybook_*.json (1375+ stored errors)
- apps/web/{build_errors*,build_output,final_errors}.txt
- 70 veza-backend-api/coverage*.out + coverage_groups/ (~4 MB)
- 3 veza-backend-api/internal/handlers/*.bak

Root cleanup:
- 54 audit-*.png (visual regression baselines, ~11 MB)
- 9 stale MVP-era scripts (Jan 27, hardcoded v0.101):
  start_{iteration,mvp,recovery}.sh,
  test_{mvp_endpoints,protected_endpoints,user_journey}.sh,
  validate_v0101.sh, verify_logs_setup.sh, gen_hash.py

Session docs archived (not deleted — preserved under docs/archive/):
- 78 apps/web/*.md     → docs/archive/frontend-sessions-2026/
- 43 veza-backend-api/*.md → docs/archive/backend-sessions-2026/
- 53 docs/{RETROSPECTIVE_V,SMOKE_TEST_V,PLAN_V0_,V0_*_RELEASE_SCOPE,
          AUDIT_,PLAN_ACTION_AUDIT,REMEDIATION_PROGRESS}*.md
                        → docs/archive/v0-history/

README.md and CONTRIBUTING.md preserved in apps/web/ and veza-backend-api/.

Note: The .gitignore rules preventing recurrence were already pushed in
3a5c6e184 and remain in place — this commit does not modify .gitignore.

Refs: AUDIT_REPORT.md §11
2026-04-14 17:12:03 +02:00

218 lines
6.4 KiB
Markdown
Raw Blame History

# Migration httpOnly Cookies - Guide Backend
## 🎯 Objectif
Modifier les endpoints `/auth/login` et `/auth/refresh` pour setter des cookies httpOnly au lieu de retourner les tokens dans le body JSON.
## 📋 Fichiers à Modifier
### 1. `internal/handlers/auth.go` - Handler Login
**Localisation**: Ligne ~121-133
**Changements nécessaires**:
```go
// Après la génération des tokens (ligne ~121)
// Au lieu de retourner RefreshToken dans le body JSON, setter un cookie httpOnly
// SECURITY: Set refresh token in httpOnly cookie
refreshTokenExpires := 30 * 24 * time.Hour // 30 jours par défaut
if rememberMe {
refreshTokenExpires = 90 * 24 * time.Hour // 90 jours si remember me
}
c.SetCookie(
"refresh_token", // name
tokens.RefreshToken, // value
int(refreshTokenExpires.Seconds()), // maxAge (en secondes)
"/", // path
"", // domain (vide = domaine actuel)
true, // secure (HTTPS only en production)
true, // httpOnly (pas accessible via JS)
)
// Retourner uniquement l'access token dans le body (pas le refresh token)
RespondSuccess(c, http.StatusOK, dto.LoginResponse{
User: dto.UserResponse{
ID: user.ID,
Email: user.Email,
Username: user.Username,
},
Token: dto.TokenResponse{
AccessToken: tokens.AccessToken,
// RefreshToken: tokens.RefreshToken, // ❌ Ne plus retourner dans le body
ExpiresIn: int(authService.JWTService.GetConfig().AccessTokenTTL.Seconds()),
},
})
```
### 2. `internal/handlers/auth.go` - Handler Refresh
**Localisation**: Ligne ~249-256
**Changements nécessaires**:
```go
// Dans la fonction Refresh, après la génération des nouveaux tokens
// SECURITY: Set refresh token in httpOnly cookie
// Utiliser la même durée que le refresh token original
refreshTokenExpires := 30 * 24 * time.Hour // 30 jours par défaut
// Note: On pourrait récupérer la durée depuis le token original si nécessaire
c.SetCookie(
"refresh_token", // name
tokens.RefreshToken, // value
int(refreshTokenExpires.Seconds()), // maxAge
"/", // path
"", // domain
true, // secure
true, // httpOnly
)
// Retourner uniquement l'access token dans le body
RespondSuccess(c, http.StatusOK, dto.TokenResponse{
AccessToken: tokens.AccessToken,
// RefreshToken: tokens.RefreshToken, // ❌ Ne plus retourner dans le body
ExpiresIn: 900,
})
```
### 3. `internal/handlers/auth.go` - Handler Register
**Localisation**: Ligne ~136-247
**Changements nécessaires**:
```go
// Après la génération des tokens (ligne ~231)
// Même logique que pour Login
refreshTokenExpires := 30 * 24 * time.Hour // 30 jours par défaut
c.SetCookie(
"refresh_token",
tokens.RefreshToken,
int(refreshTokenExpires.Seconds()),
"/",
"",
true, // secure
true, // httpOnly
)
// Retourner uniquement l'access token dans le body
response := dto.RegisterResponse{
User: dto.UserResponse{
ID: user.ID,
Email: user.Email,
Username: user.Username,
},
Token: dto.TokenResponse{
AccessToken: tokens.AccessToken,
// RefreshToken: tokens.RefreshToken, // ❌ Ne plus retourner
ExpiresIn: tokens.ExpiresIn,
},
}
```
### 4. `internal/handlers/auth.go` - Handler Logout
**Localisation**: À vérifier
**Changements nécessaires**:
```go
// Lors du logout, supprimer le cookie refresh_token
c.SetCookie(
"refresh_token",
"", // valeur vide
-1, // maxAge négatif = supprimer
"/",
"",
true, // secure
true, // httpOnly
)
```
### 5. `internal/core/auth/handler.go` - Handler Refresh (si utilisé)
**Localisation**: Ligne ~166-196
**Changements similaires**:
```go
// Après la génération des nouveaux tokens (ligne ~189)
c.SetCookie(
"refresh_token",
tokens.RefreshToken,
int(30 * 24 * time.Hour.Seconds()), // 30 jours
"/",
"",
true, // secure
true, // httpOnly
)
response := dto.TokenResponse{
AccessToken: tokens.AccessToken,
// RefreshToken: tokens.RefreshToken, // ❌ Ne plus retourner
ExpiresIn: 900,
}
```
## 🔧 Configuration Environnement
### Variables d'environnement à ajouter (optionnel)
```env
# Cookie settings
COOKIE_SECURE=true # true en production, false en dev
COOKIE_SAME_SITE=strict # strict, lax, ou none
COOKIE_DOMAIN= # vide pour domaine actuel, ou spécifier le domaine
```
### Utilisation dans le code
```go
// Dans config ou env
cookieSecure := os.Getenv("COOKIE_SECURE") == "true"
cookieSameSite := http.SameSiteStrictMode // ou depuis env
c.SetCookie(
"refresh_token",
tokens.RefreshToken,
int(refreshTokenExpires.Seconds()),
"/",
cookieDomain, // depuis env ou ""
cookieSecure, // depuis env
true, // httpOnly toujours true
)
```
## 🔄 Compatibilité avec Frontend
Le frontend est déjà préparé pour cette migration :
-`withCredentials: true` activé dans `apiClient`
-`tokenRefresh.ts` détecte automatiquement les cookies httpOnly
- ✅ Mode hybride : fonctionne avec localStorage ET cookies httpOnly
## ⚠️ Notes Importantes
1. **SameSite**: Utiliser `SameSiteStrictMode` pour la sécurité maximale
2. **Secure**: Toujours `true` en production (HTTPS requis)
3. **Domain**: Laisser vide pour le domaine actuel, ou spécifier si cross-domain
4. **Path**: `/` pour que le cookie soit disponible sur tout le site
5. **Tests**: Mettre à jour les tests pour vérifier les cookies au lieu du body JSON
## 🧪 Tests à Mettre à Jour
1. Tests unitaires des handlers Login/Refresh
2. Tests d'intégration pour vérifier les cookies
3. Tests E2E pour vérifier la persistance de session
## 📝 Checklist
- [ ] Modifier handler Login pour setter cookie httpOnly
- [ ] Modifier handler Refresh pour setter cookie httpOnly
- [ ] Modifier handler Register pour setter cookie httpOnly
- [ ] Modifier handler Logout pour supprimer cookie
- [ ] Ajouter configuration environnement pour cookies
- [ ] Mettre à jour les tests unitaires
- [ ] Mettre à jour les tests d'intégration
- [ ] Tester avec le frontend
- [ ] Documenter les changements
Reference in a new issue View git blame Copy permalink