@micha.bigler/ui-core-micha 2.1.5 → 2.1.6

package/dist/auth/apiClient.js

@@ -21,22 +21,22 @@ function redirectToLoginOnce() {
     redirectingToLogin = true;
     window.location.assign("/login");
 }
-function isAuthish403(error) {
+apiClient.interceptors.response.use((response) => response, (error) => {
     var _a, _b, _c, _d;
     const status = (_b = (_a = error === null || error === void 0 ? void 0 : error.response) === null || _a === void 0 ? void 0 : _a.status) !== null && _b !== void 0 ? _b : null;
-    if (status !== 403)
-        return false;
     const data = (_d = (_c = error === null || error === void 0 ? void 0 : error.response) === null || _c === void 0 ? void 0 : _c.data) !== null && _d !== void 0 ? _d : {};
-    const detail = typeof (data === null || data === void 0 ? void 0 : data.detail) === "string" ? data.detail : "";
-    // Typical auth/session/CSRF related phrases (keep broad but not too broad)
-    return /csrf|authentication|credentials|not authenticated|session/i.test(detail);
-}
-apiClient.interceptors.response.use((response) => response, (error) => {
-    var _a, _b;
-    const status = (_b = (_a = error === null || error === void 0 ? void 0 : error.response) === null || _a === void 0 ? void 0 : _a.status) !== null && _b !== void 0 ? _b : null;
-    if (status === 401 || isAuthish403(error)) {
+    const detail = typeof data.detail === "string" ? data.detail : "";
+    // 1. Fall: Klassisches 401 (Unauthorized)
+    const isStandard401 = status === 401;
+    // 2. Fall: Django DRF "Fake" 403
+    // DRF sendet 403 statt 401 bei SessionAuth, aber mit diesem spezifischen Text.
+    // Wir prüfen exakt auf diesen String, um echte 403 (Permission denied) nicht zu erwischen.
+    const isDrfAuth403 = status === 403 && detail === "Authentication credentials were not provided.";
+    if (isStandard401 || isDrfAuth403) {
         redirectToLoginOnce();
     }
+    // Alle anderen Fehler (echte 403er, 500er, 404er) werden durchgereicht
+    // und müssen von der UI (dem Aufrufer) behandelt werden.
     return Promise.reject(error);
 });
 export async function ensureCsrfToken() {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@micha.bigler/ui-core-micha",
-  "version": "2.1.5",
+  "version": "2.1.6",
   "main": "dist/index.js",
   "module": "dist/index.js",
   "private": false,

package/src/auth/apiClient.jsx

@@ -26,26 +26,27 @@ function redirectToLoginOnce() {
   window.location.assign("/login");
 }
 
-function isAuthish403(error) {
-  const status = error?.response?.status ?? null;
-  if (status !== 403) return false;
-
-  const data = error?.response?.data ?? {};
-  const detail = typeof data?.detail === "string" ? data.detail : "";
-
-  // Typical auth/session/CSRF related phrases (keep broad but not too broad)
-  return /csrf|authentication|credentials|not authenticated|session/i.test(detail);
-}
-
 apiClient.interceptors.response.use(
   (response) => response,
   (error) => {
     const status = error?.response?.status ?? null;
+    const data = error?.response?.data ?? {};
+    const detail = typeof data.detail === "string" ? data.detail : "";
+
+    // 1. Fall: Klassisches 401 (Unauthorized)
+    const isStandard401 = status === 401;
+
+    // 2. Fall: Django DRF "Fake" 403
+    // DRF sendet 403 statt 401 bei SessionAuth, aber mit diesem spezifischen Text.
+    // Wir prüfen exakt auf diesen String, um echte 403 (Permission denied) nicht zu erwischen.
+    const isDrfAuth403 = status === 403 && detail === "Authentication credentials were not provided.";
 
-    if (status === 401 || isAuthish403(error)) {
+    if (isStandard401 || isDrfAuth403) {
       redirectToLoginOnce();
     }
 
+    // Alle anderen Fehler (echte 403er, 500er, 404er) werden durchgereicht
+    // und müssen von der UI (dem Aufrufer) behandelt werden.
     return Promise.reject(error);
   }
 );
@@ -59,4 +60,4 @@ export async function ensureCsrfToken() {
   }
 }
 
-export default apiClient;
+export default apiClient;