senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/apps/web/MIGRATION_HTTPONLY_COOKIES.md

2.6 KiB
Raw Blame History

Migration vers Cookies httpOnly - Plan d'Action

🎯 Objectif

Migrer le stockage des tokens d'authentification de localStorage vers des cookies httpOnly pour améliorer la sécurité contre les attaques XSS.

📋 Architecture Cible

Tokens

  • Access Token : Stocké en mémoire uniquement (pas de localStorage, pas de cookie)
  • Refresh Token : Stocké dans un cookie httpOnly, secure, sameSite=strict

Sécurité

  • Protection XSS : Les cookies httpOnly ne sont pas accessibles via JavaScript
  • Protection CSRF : SameSite=strict empêche l'envoi cross-site
  • HTTPS only : Secure flag force HTTPS en production

🔄 Plan de Migration

Phase 1 : Préparation Frontend ( Complétée)

  1. Activer withCredentials dans apiClient pour envoyer les cookies
  2. Activer withCredentials dans refreshClient pour le refresh token
  3. Adapter tokenStorage.ts pour stocker access_token en mémoire (avec fallback localStorage)
  4. Créer cookieService.ts pour gérer les cookies non-httpOnly si nécessaire
  5. Adapter tokenRefresh.ts pour détecter automatiquement les cookies httpOnly
  6. Tests mis à jour et passants

Phase 2 : Backend (À faire)

  1. Modifier les endpoints /auth/login et /auth/refresh pour setter des cookies httpOnly
  2. Implémenter CSRF protection côté backend
  3. Configurer SameSite cookies

Phase 3 : Tests & Validation

  1. Tester la persistance de session
  2. Tester le refresh automatique
  3. Tester le logout
  4. Tester la compatibilité avec les tests E2E

🔧 Changements Techniques

1. Service de Gestion des Cookies

Créer cookieService.ts pour gérer les cookies côté client (uniquement pour les cookies non-httpOnly si nécessaire).

2. Modification de tokenStorage.ts

  • Supprimer le stockage du refresh token dans localStorage
  • Garder uniquement l'access token en mémoire
  • Le refresh token sera géré automatiquement par le navigateur via cookies

3. Modification de apiClient.ts

  • Activer withCredentials: true pour envoyer les cookies automatiquement
  • Supprimer l'envoi manuel du refresh token dans les headers

4. Modification de auth.ts

  • Ne plus stocker le refresh token dans localStorage après login
  • Le backend settera le cookie automatiquement

⚠️ Notes Importantes

  • Compatibilité : Le système actuel continuera de fonctionner jusqu'à ce que le backend soit prêt
  • Migration progressive : On peut activer les cookies progressivement
  • Tests : Tous les tests doivent être mis à jour pour gérer les cookies