@arcote.tech/arc-auth 0.7.24 → 0.7.25

package/package.json

@@ -1,7 +1,7 @@
 {
   "name": "@arcote.tech/arc-auth",
   "type": "module",
-  "version": "0.7.24",
+  "version": "0.7.25",
   "private": false,
   "description": "Reusable authentication module for Arc framework — aggregate-based auth with factory pattern",
   "main": "./src/index.ts",
@@ -10,8 +10,8 @@
     "type-check": "tsc --noEmit"
   },
   "peerDependencies": {
-    "@arcote.tech/arc": "^0.7.24",
-    "@arcote.tech/platform": "^0.7.24",
+    "@arcote.tech/arc": "^0.7.25",
+    "@arcote.tech/platform": "^0.7.25",
     "react": "^18.0.0 || ^19.0.0",
     "typescript": "^5.0.0"
   },

package/src/auth-builder.ts

@@ -12,6 +12,7 @@ import { createAccountId } from "./ids/account";
 import { createOAuthIdentityId } from "./ids/oauth-identity";
 import { createToken } from "./tokens/token";
 import { createOAuthRoutes } from "./routes/oauth-routes";
+import { createLogoutRoute } from "./routes/logout-route";
 import type { AccountId } from "./ids/account";
 import type { OAuthProvidersConfig } from "./providers/types";
 import type { Token } from "./tokens/token";
@@ -86,8 +87,10 @@ export class AuthBuilder<
   }
 
   build() {
+    // Logout route zawsze obecny (niezależnie od OAuth) — czyści cookie sesji.
+    const logout = createLogoutRoute();
     return {
-      context: context(this.elements),
+      context: context([...this.elements, logout]),
       accountId: this.accountId,
       token: this.token,
       Account: this.Account,

package/src/react/auth-provider.tsx

@@ -13,7 +13,7 @@ export interface AuthContextType {
   /** Resolves when the module loader has synced chunks for the new token —
    *  await before navigating to a token-gated route. */
   setAccessToken: (token: string) => Promise<void>;
-  logout: () => void;
+  logout: () => Promise<void>;
 }
 
 const AuthContext = createContext<AuthContextType | null>(null);
@@ -60,7 +60,19 @@ export function AuthProvider({ children, onTokenChange, initialToken }: AuthProv
     await onTokenChange?.(newToken);
   };
 
-  const logout = () => {
+  const logout = async (): Promise<void> => {
+    // Najpierw serwerowo wygaś cookie `arc_token` (HttpOnly — JS go nie ruszy);
+    // bez tego serwer używałby go jako fallback (m.in. upgrade /ws) i sesja
+    // trwałaby po wylogowaniu. Best-effort: błąd sieci nie blokuje czyszczenia
+    // stanu klienta, żeby UI był wylogowany.
+    try {
+      await fetch("/route/auth/logout", {
+        method: "POST",
+        credentials: "include",
+      });
+    } catch {
+      /* offline / serwer niedostępny — i tak czyścimy stan lokalny */
+    }
     setToken(null);
     onTokenChange?.(null); // scope.setToken(null) → adapter clears this scope
   };

package/src/routes/logout-route.ts

@@ -0,0 +1,28 @@
+import { route } from "@arcote.tech/arc";
+
+/**
+ * Publiczny route wylogowania — wygasza serwerowe cookie sesji `arc_token`
+ * (ustawiane przez OAuth callback, Max-Age 7 dni). Symetryczny do logowania:
+ * skoro OAuth ustawia cookie, logout musi je czyścić serwerowo — JS nie ruszy
+ * HttpOnly cookie, a serwer używa go jako fallback dla każdego requestu (w tym
+ * upgrade'u `/ws`), więc bez tego po wylogowaniu sesja trwała dalej.
+ *
+ * Publiczny (logout nie może wymagać auth). Czyszczenie nieistniejącego cookie
+ * (login hasłem) jest no-opem. Atrybuty muszą pokrywać się z ustawieniem
+ * (Path=/) żeby przeglądarka dopasowała cookie do usunięcia.
+ */
+export function createLogoutRoute() {
+  return route("authLogout")
+    .path("/auth/logout")
+    .public()
+    .handle({
+      POST: async () => {
+        const headers = new Headers();
+        headers.append(
+          "Set-Cookie",
+          "arc_token=; HttpOnly; SameSite=Lax; Path=/; Max-Age=0",
+        );
+        return new Response(null, { status: 204, headers });
+      },
+    });
+}