@mostajs/auth-flow-qr 0.1.0

package/CHANGELOG.md

@@ -0,0 +1,4 @@
+# Changelog — @mostajs/auth-flow-qr
+## [0.1.0] — 2026-06-24
+### Ajouté
+- Appairage QR type WhatsApp Web : start/pending/approve/poll/consume (one-time), TTL, store mémoire pur node:crypto. 4 tests. Membre de mosta-auth-stack.

package/README.md

@@ -0,0 +1,20 @@
+# @mostajs/auth-flow-qr
+
+**Auteur** : Dr Hamid MADANI <drmdh@msn.com>
+
+Connexion **par appairage QR — option B**, type **« WhatsApp Web »** :
+1. Un appareil **anonyme** (page de login) appelle `start()` → affiche un **QR** du lien d'approbation et **interroge** (`poll`) le statut.
+2. Un appareil **déjà connecté** scanne le QR → ouvre la page d'approbation → `approve(id, email)`.
+3. Le `poll` de l'anonyme passe à **`approved`** → il **`consume(id)`** (one-time) → l'hôte ouvre la session pour `subject`.
+
+Store d'appairage en mémoire (`pending → approved → consume`), **pur** (`node:crypto`). L'hôte branche le **rendu QR** (`@mostajs/qrpanel`) et la **résolution du sujet** (`@mostajs/auth`) — composition (DEVRULES §10). Membre de `mosta-auth-stack`.
+
+```js
+import { createAuthFlowQr } from '@mostajs/auth-flow-qr';
+const flow = createAuthFlowQr({ ttl: 120 });
+const { id } = flow.start();                 // QR → /login/pair/approve?id=${id}
+// téléphone connecté : flow.approve(id, session.email)
+// desktop poll : flow.poll(id).status === 'approved' → flow.consume(id).subject → session
+```
+
+API : `llms.txt`. Tests : `npm test` (4). AGPL-3.0-or-later.

package/llms.txt

@@ -0,0 +1,11 @@
+# @mostajs/auth-flow-qr
+Connexion par appairage QR (option B, type WhatsApp Web). Store mémoire pending→approved→consume (one-time). Pur node:crypto. Membre mosta-auth-stack. Pilotable .env.
+## API
+createAuthFlowQr({ ttl=120, now }) →
+- start() → { id, ttl } : nouvel appairage (appareil anonyme) ; afficher un QR de l'URL d'approbation contenant id
+- pending(id) → bool
+- approve(id, subject) → bool : appareil DÉJÀ connecté approuve (subject=email/userId)
+- poll(id) → { status:'pending'|'approved'|'expired'|'unknown' } : polling de l'anonyme
+- consume(id) → { subject } | null : one-time, après 'approved' → ouvrir la session
+## Flux hôte
+Desktop: POST start → QR de /login/pair/approve?id=… + poll. Téléphone connecté: scanne → approve(id, session.email). Desktop: poll 'approved' → consume → findByEmail(subject) → session.

package/package.json

@@ -0,0 +1,33 @@
+{
+  "name": "@mostajs/auth-flow-qr",
+  "version": "0.1.0",
+  "description": "Connexion par appairage QR (option B, type « WhatsApp Web ») : un appareil anonyme affiche un QR + poll ; un appareil déjà connecté l'approuve → session. Store d'appairage pending/approved/consume (one-time). Membre de mosta-auth-stack. Pilotable .env.",
+  "license": "AGPL-3.0-or-later",
+  "author": "Dr Hamid MADANI <drmdh@msn.com>",
+  "type": "module",
+  "main": "src/index.js",
+  "files": [
+    "src",
+    "llms.txt",
+    "README.md",
+    "CHANGELOG.md"
+  ],
+  "exports": {
+    ".": "./src/index.js"
+  },
+  "keywords": [
+    "mostajs",
+    "auth",
+    "qr",
+    "pairing",
+    "device-flow",
+    "login",
+    "whatsapp-web"
+  ],
+  "devDependencies": {
+    "@mostajs/mjs-unit": "^0.3.0"
+  },
+  "scripts": {
+    "test": "bash test-scripts/run-tests.sh"
+  }
+}

package/src/index.js

@@ -0,0 +1,47 @@
+// @mostajs/auth-flow-qr — connexion par appairage QR (option B, type « WhatsApp Web »). Author: Dr Hamid MADANI <drmdh@msn.com>
+// Flux : un appareil ANONYME (page login) appelle start() → affiche un QR du lien d'approbation ; il POLL le statut.
+// Un appareil DÉJÀ CONNECTÉ scanne le QR → approve(id, sujet). Le poll passe à 'approved' → l'anonyme consume(id) (une seule fois) → ouvre la session.
+// Pur (node:crypto, store mémoire). L'hôte branche le rendu QR (@mostajs/qrpanel) et la résolution du sujet (auth) — DEVRULES §10.
+import crypto from 'node:crypto';
+
+/**
+ * @param ttl  durée de vie d'un appairage en secondes (def. 120).
+ * @param now  injection horloge (tests).
+ */
+export function createAuthFlowQr({ ttl = 120, now = () => Date.now() } = {}) {
+  const pairings = new Map();   // id → { status:'pending'|'approved', subject, exp }
+  const gc = () => { const t = now(); for (const [k, v] of pairings) if (v.exp < t) pairings.delete(k); };
+
+  /** Démarre un appairage (appareil anonyme) → { id, ttl }. */
+  function start() {
+    gc();
+    const id = crypto.randomBytes(18).toString('base64url');
+    pairings.set(id, { status: 'pending', subject: null, exp: now() + ttl * 1000 });
+    return { id, ttl };
+  }
+  /** L'appairage est-il en attente d'approbation (et non expiré) ? */
+  function pending(id) { const s = pairings.get(id); return !!s && s.exp >= now() && s.status === 'pending'; }
+  /** Approuve un appairage (appareil déjà connecté) avec le sujet (email/userId). → true si OK. */
+  function approve(id, subject) {
+    const s = pairings.get(id);
+    if (!s || s.exp < now() || s.status !== 'pending' || !subject) return false;
+    s.status = 'approved'; s.subject = subject; return true;
+  }
+  /** Statut courant (pour le polling de l'appareil anonyme). Pas de gc() ici → un appairage expiré renvoie 'expired' (UX), pas 'unknown'. */
+  function poll(id) {
+    const s = pairings.get(id);
+    if (!s) return { status: 'unknown' };
+    if (s.exp < now()) return { status: 'expired' };
+    return { status: s.status };
+  }
+  /** Consomme un appairage APPROUVÉ (une seule fois) → { subject } | null. */
+  function consume(id) {
+    const s = pairings.get(id);
+    if (!s || s.status !== 'approved' || s.exp < now()) return null;
+    pairings.delete(id);
+    return { subject: s.subject };
+  }
+  return { start, pending, approve, poll, consume, get size() { return pairings.size; } };
+}
+
+export default createAuthFlowQr;