@dudousxd/adonis-authkit-server 0.1.1 → 0.3.0

package/build/src/mixins/with_mfa.js

@@ -5,6 +5,7 @@ var __decorate = (this && this.__decorate) || function (decorators, target, key,
     return c > 3 && r && Object.defineProperty(target, key, r), r;
 };
 import { column } from '@adonisjs/lucid/orm';
+import { jsonColumn } from './json_column.js';
 /**
  * Mixin de MFA/TOTP. Adiciona as colunas `totp_secret`, `mfa_enabled_at` e
  * `recovery_codes` ao model de credenciais. Mantido separado de
@@ -26,12 +27,7 @@ export function withMfa() {
         __decorate([
             column({
                 serializeAs: null,
-                prepare: (value) => (value ? JSON.stringify(value) : null),
-                consume: (value) => {
-                    if (value === null || value === undefined)
-                        return null;
-                    return Array.isArray(value) ? value : JSON.parse(value);
-                },
+                ...jsonColumn({ fallback: null, passthroughParsed: true }),
             })
         ], MfaMixin.prototype, "recoveryCodes", void 0);
         return MfaMixin;

package/build/src/mixins/with_personal_access_token.js

@@ -5,6 +5,7 @@ var __decorate = (this && this.__decorate) || function (decorators, target, key,
     return c > 3 && r && Object.defineProperty(target, key, r), r;
 };
 import { column } from '@adonisjs/lucid/orm';
+import { jsonColumn } from './json_column.js';
 export function withPersonalAccessToken() {
     return (superclass) => {
         class PatMixin extends superclass {
@@ -19,10 +20,7 @@ export function withPersonalAccessToken() {
             column({ serializeAs: null })
         ], PatMixin.prototype, "tokenHash", void 0);
         __decorate([
-            column({
-                prepare: (value) => (value ? JSON.stringify(value) : null),
-                consume: (value) => (value ? JSON.parse(value) : []),
-            })
+            column(jsonColumn({ fallback: [] }))
         ], PatMixin.prototype, "scopes", void 0);
         __decorate([
             column()

package/build/src/mixins/with_webauthn_credential.js

@@ -5,6 +5,7 @@ var __decorate = (this && this.__decorate) || function (decorators, target, key,
     return c > 3 && r && Object.defineProperty(target, key, r), r;
 };
 import { column } from '@adonisjs/lucid/orm';
+import { jsonColumn } from './json_column.js';
 /**
  * Mixin de credenciais WebAuthn / passkey. Adiciona as colunas
  * `account_id`, `public_key`, `counter`, `transports`, `label` + timestamps ao
@@ -26,14 +27,11 @@ export function withWebauthnCredential() {
             column()
         ], WebauthnCredentialMixin.prototype, "counter", void 0);
         __decorate([
-            column({
-                prepare: (value) => (value && value.length ? JSON.stringify(value) : null),
-                consume: (value) => {
-                    if (value === null || value === undefined)
-                        return null;
-                    return Array.isArray(value) ? value : JSON.parse(value);
-                },
-            })
+            column(jsonColumn({
+                fallback: null,
+                treatEmptyArrayAsEmpty: true,
+                passthroughParsed: true,
+            }))
         ], WebauthnCredentialMixin.prototype, "transports", void 0);
         __decorate([
             column()

package/build/src/provider/oidc_service.d.ts

@@ -12,6 +12,21 @@ export declare class OidcService {
     readonly interactions: InteractionActions;
     get config(): ResolvedServerConfig;
     constructor(config: ResolvedServerConfig, appKey: string, recorder?: MetricsRecorder);
+    /**
+     * Invalida o cache de clients DINÂMICOS do oidc-provider (a `dynamicClients`
+     * QuickLRU em `instance(provider)`). DEVE ser chamado após qualquer escrita
+     * (create/update/delete) no model `Client` via adapter, pelo console admin.
+     *
+     * NOTA sobre o porquê: o oidc-provider v9 cacheia clients carregados do adapter
+     * numa LRU CUJA CHAVE É O HASH (sha256) DO PAYLOAD persistido — não o client_id.
+     * Por isso uma alteração de metadata já é "auto-invalidante": `Client.find` relê o
+     * adapter, hasheia o payload NOVO, dá cache-miss e reconstrói o client. Mesmo assim
+     * limpamos a LRU explicitamente para (a) tornar o efeito imediato e determinístico
+     * (sem depender de pressão de LRU para expulsar a entrada antiga, agora inalcançável)
+     * e (b) liberar a entrada órfã na hora. É o caminho de invalidação suportado: a LRU
+     * é um detalhe interno acessível via o helper `weak_cache` do próprio provider.
+     */
+    evictDynamicClientCache(): Promise<void>;
     /** Verifica client_id + client_secret contra os clients da config (p/ endpoints custom como introspecção de PAT). */
     verifyClientCredentials(clientId: string, clientSecret: string): boolean;
 }

package/build/src/provider/oidc_service.js

@@ -72,6 +72,33 @@ export class OidcService {
         }
         this.interactions = createInteractionActions(this.provider, { verifyCredentials: config.verifyCredentials });
     }
+    /**
+     * Invalida o cache de clients DINÂMICOS do oidc-provider (a `dynamicClients`
+     * QuickLRU em `instance(provider)`). DEVE ser chamado após qualquer escrita
+     * (create/update/delete) no model `Client` via adapter, pelo console admin.
+     *
+     * NOTA sobre o porquê: o oidc-provider v9 cacheia clients carregados do adapter
+     * numa LRU CUJA CHAVE É O HASH (sha256) DO PAYLOAD persistido — não o client_id.
+     * Por isso uma alteração de metadata já é "auto-invalidante": `Client.find` relê o
+     * adapter, hasheia o payload NOVO, dá cache-miss e reconstrói o client. Mesmo assim
+     * limpamos a LRU explicitamente para (a) tornar o efeito imediato e determinístico
+     * (sem depender de pressão de LRU para expulsar a entrada antiga, agora inalcançável)
+     * e (b) liberar a entrada órfã na hora. É o caminho de invalidação suportado: a LRU
+     * é um detalhe interno acessível via o helper `weak_cache` do próprio provider.
+     */
+    async evictDynamicClientCache() {
+        try {
+            const wc = await import('oidc-provider/lib/helpers/weak_cache.js');
+            const get = wc.default ?? wc.get;
+            const int = get(this.provider);
+            int?.dynamicClients?.clear?.();
+        }
+        catch {
+            // Estrutura interna mudou numa versão futura do oidc-provider: a invalidação por
+            // hash-de-conteúdo (acima) continua garantindo correção; só perdemos a expulsão
+            // imediata da entrada órfã. Best-effort — não propaga erro pro caminho da request.
+        }
+    }
     /** Verifica client_id + client_secret contra os clients da config (p/ endpoints custom como introspecção de PAT). */
     verifyClientCredentials(clientId, clientSecret) {
         const client = this.#clients.find((c) => c.clientId === clientId);

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@dudousxd/adonis-authkit-server",
-  "version": "0.1.1",
+  "version": "0.3.0",
   "description": "AdonisJS OIDC/OAuth2 provider (Identity Provider) toolkit: ejectable auth server with sessions, rate-limiting, MFA/TOTP, audit log, federated logout and OpenTelemetry metrics.",
   "license": "MIT",
   "author": "dudousxd",