@lark-apaas/fullstack-rspack-preset 1.0.56-alpha.0 → 1.0.56-alpha.2

package/lib/preset.js

@@ -78,7 +78,7 @@ function createRecommendRspackConfig(options) {
     // 由 SDK 而非用户应用承担 cookie / x-larkgw-suda-webuser 注入。
     const localDev = (0, local_dev_1.isLocalDev)();
     const sandboxBase = process.env.SANDBOX_PUBLIC_URL;
-    const sandboxCookie = process.env.SANDBOX_COOKIE || '';
+    const { cookie: outboundCookie, csrfToken: outboundCsrfToken } = (0, local_dev_1.composeSandboxOutboundAuth)();
     let localDevWebUserHeader = '';
     if (process.env.SUDA_WEBUSER) {
         try {
@@ -95,9 +95,10 @@ function createRecommendRspackConfig(options) {
                 changeOrigin: true,
                 secure: true,
                 headers: {
-                    ...(sandboxCookie ? { cookie: sandboxCookie } : {}),
+                    ...(outboundCookie ? { cookie: outboundCookie } : {}),
                     'accept-encoding': 'identity',
                     ...(localDevWebUserHeader ? { 'x-larkgw-suda-webuser': localDevWebUserHeader } : {}),
+                    ...(outboundCsrfToken ? { 'x-suda-csrf-token': outboundCsrfToken } : {}),
                 },
             }]
         : [];

package/lib/utils/local-dev.d.ts

@@ -1 +1,20 @@
+/**
+ * 本地开发总开关。由 dev-local.sh export `MIAODA_LOCAL_DEV=1`；
+ * 沙箱 dev / 生产都不设此 env。
+ */
 export declare function isLocalDev(): boolean;
+/**
+ * 反代沙箱时的认证组装。两条入口：
+ *   - 新流（推荐）：env `FORCE_AUTHN_PREVIEW_SESSION_ID` —— 后端下发的单值 session（实际是
+ *     X-Force-Runtime-Session 的值）。SDK 自动拼 cookie，suda-csrf-token 用本地常量。
+ *   - 老流（兼容）：env `SANDBOX_COOKIE` —— 用户从浏览器手抠的完整 cookie 字符串（包含
+ *     X-Force-Runtime-Session / suda-csrf-token / suda_web_did 等）。原样透传，suda-csrf-token
+ *     从其中正则提取作为出向 x-suda-csrf-token header。
+ *
+ * 两个都给的话 `SANDBOX_COOKIE` 优先（"已显式拼好"信号更强）。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+export declare function composeSandboxOutboundAuth(): {
+    cookie: string;
+    csrfToken: string;
+};

package/lib/utils/local-dev.js

@@ -1,9 +1,42 @@
 "use strict";
 Object.defineProperty(exports, "__esModule", { value: true });
 exports.isLocalDev = isLocalDev;
+exports.composeSandboxOutboundAuth = composeSandboxOutboundAuth;
+/**
+ * 本地开发总开关。由 dev-local.sh export `MIAODA_LOCAL_DEV=1`；
+ * 沙箱 dev / 生产都不设此 env。
+ */
 function isLocalDev() {
     if (process.env.NODE_ENV === 'production')
         return false;
     const flag = process.env.MIAODA_LOCAL_DEV;
     return flag === '1' || flag === 'true';
 }
+/** 本地常量 csrf token —— sandbox 是 double-submit 模式（cookie===header 即放行），本地随便定一个一致值即可。 */
+const LOCAL_CSRF_TOKEN = 'local-dev-csrf';
+/**
+ * 反代沙箱时的认证组装。两条入口：
+ *   - 新流（推荐）：env `FORCE_AUTHN_PREVIEW_SESSION_ID` —— 后端下发的单值 session（实际是
+ *     X-Force-Runtime-Session 的值）。SDK 自动拼 cookie，suda-csrf-token 用本地常量。
+ *   - 老流（兼容）：env `SANDBOX_COOKIE` —— 用户从浏览器手抠的完整 cookie 字符串（包含
+ *     X-Force-Runtime-Session / suda-csrf-token / suda_web_did 等）。原样透传，suda-csrf-token
+ *     从其中正则提取作为出向 x-suda-csrf-token header。
+ *
+ * 两个都给的话 `SANDBOX_COOKIE` 优先（"已显式拼好"信号更强）。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+function composeSandboxOutboundAuth() {
+    const legacyCookie = process.env.SANDBOX_COOKIE;
+    if (legacyCookie) {
+        const m = legacyCookie.match(/(?:^|;\s*)suda-csrf-token=([^;]+)/i);
+        return { cookie: legacyCookie, csrfToken: m ? m[1] : '' };
+    }
+    const sessionId = process.env.FORCE_AUTHN_PREVIEW_SESSION_ID;
+    if (sessionId) {
+        return {
+            cookie: `X-Force-Runtime-Session=${sessionId}; suda-csrf-token=${LOCAL_CSRF_TOKEN}`,
+            csrfToken: LOCAL_CSRF_TOKEN,
+        };
+    }
+    return { cookie: '', csrfToken: '' };
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@lark-apaas/fullstack-rspack-preset",
-  "version": "1.0.56-alpha.0",
+  "version": "1.0.56-alpha.2",
   "files": [
     "lib",
     "patches",