@dudousxd/adonis-authkit-server 0.4.0 → 0.6.0

package/build/src/host/trusted_device.d.ts

@@ -0,0 +1,61 @@
+/**
+ * "Trusted devices" — pular o 2º fator (MFA) neste dispositivo por N dias.
+ *
+ * Mecanismo SEM novos requisitos de DB: um cookie httpOnly assinado/encriptado
+ * com a appKey do host (via `response.encryptedCookie` / `request.encryptedCookie`,
+ * que são appKey-backed). O cookie carrega `{ a: accountId, d: deviceId, iat, exp }`.
+ *
+ * Validação (ver {@link isTrustedDeviceValid}):
+ *   - `exp` ainda no futuro;
+ *   - `a` casa com a conta que acabou de passar pela senha;
+ *   - `iat >= mfaEnabledAt` — re-enrolar o MFA invalida cookies antigos (revogação
+ *     por re-enrollment, sem estado server-side).
+ *
+ * Step-up (acr_values pedindo o mfaAcr) SEMPRE ignora o cookie e força o MFA — a
+ * decisão fica no controller, antes de checar o cookie.
+ *
+ * Limitação conhecida (documentada): NÃO há uma lista de revogação por-dispositivo
+ * server-side; a revogação disponível é "revogar todos" via re-enrollment do MFA.
+ * Uma allowlist/denylist persistida fica como trabalho futuro.
+ */
+/** Nome do cookie de dispositivo confiável. */
+export declare const TRUSTED_DEVICE_COOKIE = "authkit_trusted_device";
+/** Payload guardado (encriptado) no cookie de dispositivo confiável. */
+export interface TrustedDevicePayload {
+    /** accountId ao qual a confiança pertence. */
+    a: string;
+    /** id opaco do dispositivo (para futura revogação por-dispositivo). */
+    d: string;
+    /** issued-at (epoch ms). */
+    iat: number;
+    /** expiry (epoch ms). */
+    exp: number;
+}
+export interface TrustedDevicesConfigInput {
+    /** Liga o mecanismo de trusted devices. Default: true. */
+    enabled?: boolean;
+    /** Validade da confiança em dias. Default: 30. */
+    days?: number;
+}
+export interface ResolvedTrustedDevicesConfig {
+    enabled: boolean;
+    days: number;
+}
+export declare function resolveTrustedDevices(input?: TrustedDevicesConfigInput): ResolvedTrustedDevicesConfig;
+/** Constrói o payload de um novo cookie de confiança para a conta. */
+export declare function buildTrustedDevicePayload(accountId: string, cfg: ResolvedTrustedDevicesConfig, now?: number): TrustedDevicePayload;
+/**
+ * `true` se o payload do cookie é uma confiança VÁLIDA para `accountId`:
+ *   - estrutura íntegra;
+ *   - pertence à conta certa;
+ *   - não expirou;
+ *   - foi emitido em/depois do último (re)enrollment de MFA (`mfaEnabledAt`).
+ *
+ * `mfaEnabledAt` em epoch ms (ou null quando o store não rastreia — nesse caso a
+ * checagem de re-enrollment é pulada, mantendo a validade por expiração apenas).
+ */
+export declare function isTrustedDeviceValid(payload: unknown, opts: {
+    accountId: string;
+    mfaEnabledAt?: number | null;
+    now?: number;
+}): boolean;

package/build/src/host/trusted_device.js

@@ -0,0 +1,65 @@
+import { randomBytes } from 'node:crypto';
+/**
+ * "Trusted devices" — pular o 2º fator (MFA) neste dispositivo por N dias.
+ *
+ * Mecanismo SEM novos requisitos de DB: um cookie httpOnly assinado/encriptado
+ * com a appKey do host (via `response.encryptedCookie` / `request.encryptedCookie`,
+ * que são appKey-backed). O cookie carrega `{ a: accountId, d: deviceId, iat, exp }`.
+ *
+ * Validação (ver {@link isTrustedDeviceValid}):
+ *   - `exp` ainda no futuro;
+ *   - `a` casa com a conta que acabou de passar pela senha;
+ *   - `iat >= mfaEnabledAt` — re-enrolar o MFA invalida cookies antigos (revogação
+ *     por re-enrollment, sem estado server-side).
+ *
+ * Step-up (acr_values pedindo o mfaAcr) SEMPRE ignora o cookie e força o MFA — a
+ * decisão fica no controller, antes de checar o cookie.
+ *
+ * Limitação conhecida (documentada): NÃO há uma lista de revogação por-dispositivo
+ * server-side; a revogação disponível é "revogar todos" via re-enrollment do MFA.
+ * Uma allowlist/denylist persistida fica como trabalho futuro.
+ */
+/** Nome do cookie de dispositivo confiável. */
+export const TRUSTED_DEVICE_COOKIE = 'authkit_trusted_device';
+export function resolveTrustedDevices(input) {
+    return {
+        enabled: input?.enabled ?? true,
+        days: input?.days && input.days > 0 ? input.days : 30,
+    };
+}
+/** Constrói o payload de um novo cookie de confiança para a conta. */
+export function buildTrustedDevicePayload(accountId, cfg, now = Date.now()) {
+    return {
+        a: accountId,
+        d: randomBytes(16).toString('hex'),
+        iat: now,
+        exp: now + cfg.days * 24 * 60 * 60 * 1000,
+    };
+}
+/**
+ * `true` se o payload do cookie é uma confiança VÁLIDA para `accountId`:
+ *   - estrutura íntegra;
+ *   - pertence à conta certa;
+ *   - não expirou;
+ *   - foi emitido em/depois do último (re)enrollment de MFA (`mfaEnabledAt`).
+ *
+ * `mfaEnabledAt` em epoch ms (ou null quando o store não rastreia — nesse caso a
+ * checagem de re-enrollment é pulada, mantendo a validade por expiração apenas).
+ */
+export function isTrustedDeviceValid(payload, opts) {
+    const now = opts.now ?? Date.now();
+    if (!payload || typeof payload !== 'object')
+        return false;
+    const p = payload;
+    if (typeof p.a !== 'string' || typeof p.iat !== 'number' || typeof p.exp !== 'number') {
+        return false;
+    }
+    if (p.a !== opts.accountId)
+        return false;
+    if (p.exp <= now)
+        return false;
+    // Re-enrollment do MFA revoga cookies emitidos antes dele.
+    if (typeof opts.mfaEnabledAt === 'number' && p.iat < opts.mfaEnabledAt)
+        return false;
+    return true;
+}

package/build/src/host/validators.d.ts

@@ -69,3 +69,38 @@ export declare const changeEmailValidator: import("@vinejs/vine").VineValidator<
     newEmail: string;
     currentPassword: string;
 }>, Record<string, any> | undefined>;
+/**
+ * Edição de perfil no console de conta: nome e avatarUrl, ambos opcionais.
+ * Campos vazios são normalizados para string vazia (limpa o valor).
+ */
+export declare const updateProfileValidator: import("@vinejs/vine").VineValidator<import("@vinejs/vine").VineObject<{
+    name: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+    avatarUrl: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+}, {
+    name?: string | null | undefined;
+    avatarUrl?: string | null | undefined;
+}, {
+    name?: string | undefined;
+    avatarUrl?: string | undefined;
+}, {
+    name?: string | undefined;
+    avatarUrl?: string | undefined;
+}>, Record<string, any> | undefined>;
+/** Criação de usuário no console admin (email obrigatório; nome/senha opcionais). */
+export declare const adminCreateUserValidator: import("@vinejs/vine").VineValidator<import("@vinejs/vine").VineObject<{
+    email: import("@vinejs/vine").VineString;
+    name: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+    password: import("@vinejs/vine/schema/base/literal").OptionalModifier<import("@vinejs/vine").VineString>;
+}, {
+    password?: string | null | undefined;
+    name?: string | null | undefined;
+    email: string;
+}, {
+    password?: string | undefined;
+    name?: string | undefined;
+    email: string;
+}, {
+    password?: string | undefined;
+    name?: string | undefined;
+    email: string;
+}>, Record<string, any> | undefined>;

package/build/src/host/validators.js

@@ -25,3 +25,17 @@ export const changeEmailValidator = vine.compile(vine.object({
     currentPassword: vine.string().minLength(1),
     newEmail: vine.string().trim().email().normalizeEmail(),
 }));
+/**
+ * Edição de perfil no console de conta: nome e avatarUrl, ambos opcionais.
+ * Campos vazios são normalizados para string vazia (limpa o valor).
+ */
+export const updateProfileValidator = vine.compile(vine.object({
+    name: vine.string().trim().maxLength(255).optional(),
+    avatarUrl: vine.string().trim().url().maxLength(2048).optional(),
+}));
+/** Criação de usuário no console admin (email obrigatório; nome/senha opcionais). */
+export const adminCreateUserValidator = vine.compile(vine.object({
+    email: vine.string().trim().email().normalizeEmail(),
+    name: vine.string().trim().maxLength(255).optional(),
+    password: vine.string().minLength(8).maxLength(255).optional(),
+}));

package/build/src/observability/metrics_controller.js

@@ -5,11 +5,11 @@ function renderDashboardHtml(snapshot) {
     const histograms = Object.entries(snapshot.histograms)
         .map(([k, h]) => `<tr><td>${k}</td><td>${h.count}</td><td>${h.sum}</td><td>${h.min}</td><td>${h.max}</td></tr>`)
         .join('');
-    return `<!doctype html><html lang="pt-br"><head><meta charset="utf-8"><meta http-equiv="refresh" content="5"><title>AuthKit — Métricas</title>
+    return `<!doctype html><html lang="en"><head><meta charset="utf-8"><meta http-equiv="refresh" content="5"><title>AuthKit — Metrics</title>
 <style>body{font-family:system-ui,sans-serif;margin:2rem;color:#111}h1{font-size:1.2rem}table{border-collapse:collapse;margin:1rem 0;width:100%}th,td{border:1px solid #ddd;padding:.4rem .6rem;text-align:left;font-size:.9rem}th{background:#f5f5f5}</style>
-</head><body><h1>AuthKit — Métricas</h1><p>Atualizado: ${snapshot.updatedAt ? new Date(snapshot.updatedAt).toISOString() : '—'}</p>
-<h2>Counters</h2><table><thead><tr><th>Métrica</th><th>Total</th></tr></thead><tbody>${counters || '<tr><td colspan="2">—</td></tr>'}</tbody></table>
-<h2>Histograms</h2><table><thead><tr><th>Métrica</th><th>Count</th><th>Sum</th><th>Min</th><th>Max</th></tr></thead><tbody>${histograms || '<tr><td colspan="5">—</td></tr>'}</tbody></table>
+</head><body><h1>AuthKit — Metrics</h1><p>Updated: ${snapshot.updatedAt ? new Date(snapshot.updatedAt).toISOString() : '—'}</p>
+<h2>Counters</h2><table><thead><tr><th>Metric</th><th>Total</th></tr></thead><tbody>${counters || '<tr><td colspan="2">—</td></tr>'}</tbody></table>
+<h2>Histograms</h2><table><thead><tr><th>Metric</th><th>Count</th><th>Sum</th><th>Min</th><th>Max</th></tr></thead><tbody>${histograms || '<tr><td colspan="5">—</td></tr>'}</tbody></table>
 </body></html>`;
 }
 export default class MetricsController {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@dudousxd/adonis-authkit-server",
-  "version": "0.4.0",
+  "version": "0.6.0",
   "description": "AdonisJS OIDC/OAuth2 provider (Identity Provider) toolkit: ejectable auth server with sessions, rate-limiting, MFA/TOTP, audit log, federated logout and OpenTelemetry metrics.",
   "license": "MIT",
   "author": "dudousxd",