@fiado/type-kit 3.45.0 → 3.46.0

package/bin/cognitoBackofficeConnector/dtos/InitiateAuthRequest.d.ts

@@ -4,5 +4,5 @@ export declare class InitiateAuthRequest {
     clientId: string;
     authFlow: string;
     username: string;
-    password: string;
+    password?: string;
 }

package/bin/cognitoBackofficeConnector/dtos/InitiateAuthRequest.js

@@ -47,7 +47,7 @@ __decorate([
 ], InitiateAuthRequest.prototype, "username", void 0);
 __decorate([
     (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsOptional)(),
     (0, class_validator_1.IsString)(),
-    (0, class_validator_1.IsNotEmpty)(),
     __metadata("design:type", String)
 ], InitiateAuthRequest.prototype, "password", void 0);

package/bin/cognitoBackofficeConnector/dtos/VerifyPasswordRequest.d.ts

@@ -0,0 +1,12 @@
+/**
+ * Request de validación de password (DEC-AUTH-012). El connector valida el
+ * password contra Cognito internamente (hoy ADMIN_USER_PASSWORD_AUTH) y devuelve
+ * un veredicto. El caller (rbac) NO conoce el mecanismo.
+ */
+export declare class VerifyPasswordRequest {
+    userPoolId: string;
+    region: string;
+    clientId: string;
+    username: string;
+    password: string;
+}

package/bin/cognitoBackofficeConnector/dtos/VerifyPasswordRequest.js

@@ -0,0 +1,52 @@
+"use strict";
+var __decorate = (this && this.__decorate) || function (decorators, target, key, desc) {
+    var c = arguments.length, r = c < 3 ? target : desc === null ? desc = Object.getOwnPropertyDescriptor(target, key) : desc, d;
+    if (typeof Reflect === "object" && typeof Reflect.decorate === "function") r = Reflect.decorate(decorators, target, key, desc);
+    else for (var i = decorators.length - 1; i >= 0; i--) if (d = decorators[i]) r = (c < 3 ? d(r) : c > 3 ? d(target, key, r) : d(target, key)) || r;
+    return c > 3 && r && Object.defineProperty(target, key, r), r;
+};
+var __metadata = (this && this.__metadata) || function (k, v) {
+    if (typeof Reflect === "object" && typeof Reflect.metadata === "function") return Reflect.metadata(k, v);
+};
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.VerifyPasswordRequest = void 0;
+const class_transformer_1 = require("class-transformer");
+const class_validator_1 = require("class-validator");
+/**
+ * Request de validación de password (DEC-AUTH-012). El connector valida el
+ * password contra Cognito internamente (hoy ADMIN_USER_PASSWORD_AUTH) y devuelve
+ * un veredicto. El caller (rbac) NO conoce el mecanismo.
+ */
+class VerifyPasswordRequest {
+}
+exports.VerifyPasswordRequest = VerifyPasswordRequest;
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsString)(),
+    (0, class_validator_1.IsNotEmpty)(),
+    __metadata("design:type", String)
+], VerifyPasswordRequest.prototype, "userPoolId", void 0);
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsString)(),
+    (0, class_validator_1.IsNotEmpty)(),
+    __metadata("design:type", String)
+], VerifyPasswordRequest.prototype, "region", void 0);
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsString)(),
+    (0, class_validator_1.IsNotEmpty)(),
+    __metadata("design:type", String)
+], VerifyPasswordRequest.prototype, "clientId", void 0);
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsString)(),
+    (0, class_validator_1.IsNotEmpty)(),
+    __metadata("design:type", String)
+], VerifyPasswordRequest.prototype, "username", void 0);
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsString)(),
+    (0, class_validator_1.IsNotEmpty)(),
+    __metadata("design:type", String)
+], VerifyPasswordRequest.prototype, "password", void 0);

package/bin/cognitoBackofficeConnector/dtos/VerifyPasswordResponse.d.ts

@@ -0,0 +1,3 @@
+export declare class VerifyPasswordResponse {
+    valid: boolean;
+}

package/bin/cognitoBackofficeConnector/dtos/VerifyPasswordResponse.js

@@ -0,0 +1,22 @@
+"use strict";
+var __decorate = (this && this.__decorate) || function (decorators, target, key, desc) {
+    var c = arguments.length, r = c < 3 ? target : desc === null ? desc = Object.getOwnPropertyDescriptor(target, key) : desc, d;
+    if (typeof Reflect === "object" && typeof Reflect.decorate === "function") r = Reflect.decorate(decorators, target, key, desc);
+    else for (var i = decorators.length - 1; i >= 0; i--) if (d = decorators[i]) r = (c < 3 ? d(r) : c > 3 ? d(target, key, r) : d(target, key)) || r;
+    return c > 3 && r && Object.defineProperty(target, key, r), r;
+};
+var __metadata = (this && this.__metadata) || function (k, v) {
+    if (typeof Reflect === "object" && typeof Reflect.metadata === "function") return Reflect.metadata(k, v);
+};
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.VerifyPasswordResponse = void 0;
+const class_transformer_1 = require("class-transformer");
+const class_validator_1 = require("class-validator");
+class VerifyPasswordResponse {
+}
+exports.VerifyPasswordResponse = VerifyPasswordResponse;
+__decorate([
+    (0, class_transformer_1.Expose)(),
+    (0, class_validator_1.IsBoolean)(),
+    __metadata("design:type", Boolean)
+], VerifyPasswordResponse.prototype, "valid", void 0);

package/bin/cognitoBackofficeConnector/enums/CognitoChallengeType.d.ts

@@ -1,26 +1,24 @@
 /**
  * Tipos de Cognito Challenge que el `cognito-backoffice-connector` propaga al
- * caller (típicamente el BFF M18). Son los 4 valores canónicos del proyecto.
+ * caller (típicamente el BFF M18 / platform-rbac-business).
  *
- * Decisión A17 (MFA exclusivo): el proyecto soporta exclusivamente TOTP +
- * Email OTP. Cualquier otro challenge que devuelva el SDK
- * (`SELECT_MFA_TYPE`, `SMS_MFA`, `DEVICE_SRP_AUTH`, `DEVICE_PASSWORD_VERIFIER`,
- * `CUSTOM_CHALLENGE`, `ADMIN_NO_SRP_AUTH`, etc.) NO se propaga como
- * `challengeType` — se mapea a `CognitoUnexpectedError` con HTTP 502 en el
- * service correspondiente.
+ * `CUSTOM_CHALLENGE` (DEC-AUTH-013): único challengeName que viaja a Cognito en
+ * el flujo CUSTOM_AUTH. Los sub-tipos `EMAIL_OTP` / `SOFTWARE_TOKEN_MFA` los
+ * decide el rbac y viajan en `challengeParameters` — Cognito no los conoce en
+ * custom-auth. Cualquier OTRO challenge fuera de este set (`SMS_MFA`,
+ * `SELECT_MFA_TYPE`, `DEVICE_SRP_AUTH`, etc.) se mapea a `CognitoUnexpectedError`
+ * 502 (misconfig del pool).
  *
- *  - `NEW_PASSWORD_REQUIRED` — el usuario fue creado con temp password y debe
- *    setear una definitiva en el primer login.
- *  - `MFA_SETUP` — el usuario debe enrolarse en MFA (TOTP o Email) antes de
- *    obtener tokens.
- *  - `SOFTWARE_TOKEN_MFA` — el usuario tiene TOTP enrolado y debe enviar el
- *    código del authenticator.
- *  - `EMAIL_OTP` — el usuario tiene Email MFA habilitado y debe enviar el OTP
- *    enviado al email.
+ *  - `NEW_PASSWORD_REQUIRED` — temp password, debe setear definitiva en primer login.
+ *  - `MFA_SETUP` — debe enrolarse en MFA.
+ *  - `SOFTWARE_TOKEN_MFA` — TOTP nativo enrolado.
+ *  - `EMAIL_OTP` — Email MFA nativo.
+ *  - `CUSTOM_CHALLENGE` — flujo CUSTOM_AUTH orquestado por el rbac.
  */
 export declare enum CognitoChallengeType {
     NEW_PASSWORD_REQUIRED = "NEW_PASSWORD_REQUIRED",
     MFA_SETUP = "MFA_SETUP",
     SOFTWARE_TOKEN_MFA = "SOFTWARE_TOKEN_MFA",
-    EMAIL_OTP = "EMAIL_OTP"
+    EMAIL_OTP = "EMAIL_OTP",
+    CUSTOM_CHALLENGE = "CUSTOM_CHALLENGE"
 }

package/bin/cognitoBackofficeConnector/enums/CognitoChallengeType.js

@@ -3,23 +3,20 @@ Object.defineProperty(exports, "__esModule", { value: true });
 exports.CognitoChallengeType = void 0;
 /**
  * Tipos de Cognito Challenge que el `cognito-backoffice-connector` propaga al
- * caller (típicamente el BFF M18). Son los 4 valores canónicos del proyecto.
+ * caller (típicamente el BFF M18 / platform-rbac-business).
  *
- * Decisión A17 (MFA exclusivo): el proyecto soporta exclusivamente TOTP +
- * Email OTP. Cualquier otro challenge que devuelva el SDK
- * (`SELECT_MFA_TYPE`, `SMS_MFA`, `DEVICE_SRP_AUTH`, `DEVICE_PASSWORD_VERIFIER`,
- * `CUSTOM_CHALLENGE`, `ADMIN_NO_SRP_AUTH`, etc.) NO se propaga como
- * `challengeType` — se mapea a `CognitoUnexpectedError` con HTTP 502 en el
- * service correspondiente.
+ * `CUSTOM_CHALLENGE` (DEC-AUTH-013): único challengeName que viaja a Cognito en
+ * el flujo CUSTOM_AUTH. Los sub-tipos `EMAIL_OTP` / `SOFTWARE_TOKEN_MFA` los
+ * decide el rbac y viajan en `challengeParameters` — Cognito no los conoce en
+ * custom-auth. Cualquier OTRO challenge fuera de este set (`SMS_MFA`,
+ * `SELECT_MFA_TYPE`, `DEVICE_SRP_AUTH`, etc.) se mapea a `CognitoUnexpectedError`
+ * 502 (misconfig del pool).
  *
- *  - `NEW_PASSWORD_REQUIRED` — el usuario fue creado con temp password y debe
- *    setear una definitiva en el primer login.
- *  - `MFA_SETUP` — el usuario debe enrolarse en MFA (TOTP o Email) antes de
- *    obtener tokens.
- *  - `SOFTWARE_TOKEN_MFA` — el usuario tiene TOTP enrolado y debe enviar el
- *    código del authenticator.
- *  - `EMAIL_OTP` — el usuario tiene Email MFA habilitado y debe enviar el OTP
- *    enviado al email.
+ *  - `NEW_PASSWORD_REQUIRED` — temp password, debe setear definitiva en primer login.
+ *  - `MFA_SETUP` — debe enrolarse en MFA.
+ *  - `SOFTWARE_TOKEN_MFA` — TOTP nativo enrolado.
+ *  - `EMAIL_OTP` — Email MFA nativo.
+ *  - `CUSTOM_CHALLENGE` — flujo CUSTOM_AUTH orquestado por el rbac.
  */
 var CognitoChallengeType;
 (function (CognitoChallengeType) {
@@ -27,4 +24,5 @@ var CognitoChallengeType;
     CognitoChallengeType["MFA_SETUP"] = "MFA_SETUP";
     CognitoChallengeType["SOFTWARE_TOKEN_MFA"] = "SOFTWARE_TOKEN_MFA";
     CognitoChallengeType["EMAIL_OTP"] = "EMAIL_OTP";
+    CognitoChallengeType["CUSTOM_CHALLENGE"] = "CUSTOM_CHALLENGE";
 })(CognitoChallengeType || (exports.CognitoChallengeType = CognitoChallengeType = {}));

package/bin/cognitoBackofficeConnector/index.d.ts

@@ -23,6 +23,8 @@ export * from './dtos/AuthEventResponse';
 export * from './dtos/AuthTokensResponse';
 export * from './dtos/InitiateAuthRequest';
 export * from './dtos/InitiateAuthResponse';
+export * from './dtos/VerifyPasswordRequest';
+export * from './dtos/VerifyPasswordResponse';
 export * from './dtos/RespondToChallengeRequest';
 export * from './dtos/RespondToChallengeResponse';
 export * from './dtos/RefreshTokensRequest';

package/bin/cognitoBackofficeConnector/index.js

@@ -39,6 +39,8 @@ __exportStar(require("./dtos/AuthEventResponse"), exports);
 __exportStar(require("./dtos/AuthTokensResponse"), exports);
 __exportStar(require("./dtos/InitiateAuthRequest"), exports);
 __exportStar(require("./dtos/InitiateAuthResponse"), exports);
+__exportStar(require("./dtos/VerifyPasswordRequest"), exports);
+__exportStar(require("./dtos/VerifyPasswordResponse"), exports);
 __exportStar(require("./dtos/RespondToChallengeRequest"), exports);
 __exportStar(require("./dtos/RespondToChallengeResponse"), exports);
 __exportStar(require("./dtos/RefreshTokensRequest"), exports);

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@fiado/type-kit",
-  "version": "3.45.0",
+  "version": "3.46.0",
   "description": "",
   "main": "bin/index.js",
   "types": "bin/index.d.ts",

package/src/cognitoBackofficeConnector/dtos/InitiateAuthRequest.ts

@@ -1,11 +1,12 @@
-import { Expose } from 'class-transformer';
-import { IsNotEmpty, IsString } from 'class-validator';
-
-export class InitiateAuthRequest {
-    @Expose() @IsString() @IsNotEmpty() userPoolId!: string;
-    @Expose() @IsString() @IsNotEmpty() region!: string;
-    @Expose() @IsString() @IsNotEmpty() clientId!: string;
-    @Expose() @IsString() @IsNotEmpty() authFlow!: string;
-    @Expose() @IsString() @IsNotEmpty() username!: string;
-    @Expose() @IsString() @IsNotEmpty() password!: string;
-}
+import { Expose } from 'class-transformer';
+import { IsNotEmpty, IsOptional, IsString } from 'class-validator';
+
+export class InitiateAuthRequest {
+    @Expose() @IsString() @IsNotEmpty() userPoolId!: string;
+    @Expose() @IsString() @IsNotEmpty() region!: string;
+    @Expose() @IsString() @IsNotEmpty() clientId!: string;
+    @Expose() @IsString() @IsNotEmpty() authFlow!: string;
+    @Expose() @IsString() @IsNotEmpty() username!: string;
+    // CUSTOM_AUTH initiate NO manda password (ya validado por authVerifyPassword, DEC-AUTH-013).
+    @Expose() @IsOptional() @IsString() password?: string;
+}

package/src/cognitoBackofficeConnector/dtos/VerifyPasswordRequest.ts

@@ -0,0 +1,15 @@
+import { Expose } from 'class-transformer';
+import { IsNotEmpty, IsString } from 'class-validator';
+
+/**
+ * Request de validación de password (DEC-AUTH-012). El connector valida el
+ * password contra Cognito internamente (hoy ADMIN_USER_PASSWORD_AUTH) y devuelve
+ * un veredicto. El caller (rbac) NO conoce el mecanismo.
+ */
+export class VerifyPasswordRequest {
+    @Expose() @IsString() @IsNotEmpty() userPoolId!: string;
+    @Expose() @IsString() @IsNotEmpty() region!: string;
+    @Expose() @IsString() @IsNotEmpty() clientId!: string;
+    @Expose() @IsString() @IsNotEmpty() username!: string;
+    @Expose() @IsString() @IsNotEmpty() password!: string;
+}

package/src/cognitoBackofficeConnector/dtos/VerifyPasswordResponse.ts

@@ -0,0 +1,6 @@
+import { Expose } from 'class-transformer';
+import { IsBoolean } from 'class-validator';
+
+export class VerifyPasswordResponse {
+    @Expose() @IsBoolean() valid!: boolean;
+}

package/src/cognitoBackofficeConnector/enums/CognitoChallengeType.ts

@@ -1,26 +1,24 @@
-/**
- * Tipos de Cognito Challenge que el `cognito-backoffice-connector` propaga al
- * caller (típicamente el BFF M18). Son los 4 valores canónicos del proyecto.
- *
- * Decisión A17 (MFA exclusivo): el proyecto soporta exclusivamente TOTP +
- * Email OTP. Cualquier otro challenge que devuelva el SDK
- * (`SELECT_MFA_TYPE`, `SMS_MFA`, `DEVICE_SRP_AUTH`, `DEVICE_PASSWORD_VERIFIER`,
- * `CUSTOM_CHALLENGE`, `ADMIN_NO_SRP_AUTH`, etc.) NO se propaga como
- * `challengeType` — se mapea a `CognitoUnexpectedError` con HTTP 502 en el
- * service correspondiente.
- *
- *  - `NEW_PASSWORD_REQUIRED` — el usuario fue creado con temp password y debe
- *    setear una definitiva en el primer login.
- *  - `MFA_SETUP` — el usuario debe enrolarse en MFA (TOTP o Email) antes de
- *    obtener tokens.
- *  - `SOFTWARE_TOKEN_MFA` — el usuario tiene TOTP enrolado y debe enviar el
- *    código del authenticator.
- *  - `EMAIL_OTP` — el usuario tiene Email MFA habilitado y debe enviar el OTP
- *    enviado al email.
- */
-export enum CognitoChallengeType {
-    NEW_PASSWORD_REQUIRED = 'NEW_PASSWORD_REQUIRED',
-    MFA_SETUP = 'MFA_SETUP',
-    SOFTWARE_TOKEN_MFA = 'SOFTWARE_TOKEN_MFA',
-    EMAIL_OTP = 'EMAIL_OTP',
-}
+/**
+ * Tipos de Cognito Challenge que el `cognito-backoffice-connector` propaga al
+ * caller (típicamente el BFF M18 / platform-rbac-business).
+ *
+ * `CUSTOM_CHALLENGE` (DEC-AUTH-013): único challengeName que viaja a Cognito en
+ * el flujo CUSTOM_AUTH. Los sub-tipos `EMAIL_OTP` / `SOFTWARE_TOKEN_MFA` los
+ * decide el rbac y viajan en `challengeParameters` — Cognito no los conoce en
+ * custom-auth. Cualquier OTRO challenge fuera de este set (`SMS_MFA`,
+ * `SELECT_MFA_TYPE`, `DEVICE_SRP_AUTH`, etc.) se mapea a `CognitoUnexpectedError`
+ * 502 (misconfig del pool).
+ *
+ *  - `NEW_PASSWORD_REQUIRED` — temp password, debe setear definitiva en primer login.
+ *  - `MFA_SETUP` — debe enrolarse en MFA.
+ *  - `SOFTWARE_TOKEN_MFA` — TOTP nativo enrolado.
+ *  - `EMAIL_OTP` — Email MFA nativo.
+ *  - `CUSTOM_CHALLENGE` — flujo CUSTOM_AUTH orquestado por el rbac.
+ */
+export enum CognitoChallengeType {
+    NEW_PASSWORD_REQUIRED = 'NEW_PASSWORD_REQUIRED',
+    MFA_SETUP = 'MFA_SETUP',
+    SOFTWARE_TOKEN_MFA = 'SOFTWARE_TOKEN_MFA',
+    EMAIL_OTP = 'EMAIL_OTP',
+    CUSTOM_CHALLENGE = 'CUSTOM_CHALLENGE',
+}

package/src/cognitoBackofficeConnector/index.ts

@@ -23,6 +23,8 @@ export * from './dtos/AuthEventResponse';
 export * from './dtos/AuthTokensResponse';
 export * from './dtos/InitiateAuthRequest';
 export * from './dtos/InitiateAuthResponse';
+export * from './dtos/VerifyPasswordRequest';
+export * from './dtos/VerifyPasswordResponse';
 export * from './dtos/RespondToChallengeRequest';
 export * from './dtos/RespondToChallengeResponse';
 export * from './dtos/RefreshTokensRequest';