npm - @mostajs/auth-magic-qr - Versions diffs - 0.1.0 - Mend

@mostajs/auth-magic-qr 0.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (5) hide show

package/CHANGELOG.md ADDED Viewed

@@ -0,0 +1,4 @@
+# Changelog — @mostajs/auth-magic-qr
+## [0.1.0] — 2026-06-24
+### Ajouté
+- Badge persistant (jeton signé HMAC + verifyBadge timing-safe + expiration) et lien magique éphémère, en composant @mostajs/auth (magic-link) + @mostajs/qrpanel (rendu) par injection. 4 tests. Membre de mosta-auth-stack.

package/README.md ADDED Viewed

@@ -0,0 +1,24 @@
+# @mostajs/auth-magic-qr
+**Auteur** : Dr Hamid MADANI <drmdh@msn.com>
+Connexion **par QR — option A** : le QR **encode un lien de connexion**. Deux usages, pilotables par l'hôte (`.env`) :
+- **Badge persistant** — QR d'un **jeton signé HMAC** (`userId.exp.sig`) → URL `/login/qr?token=…` ; l'hôte le vérifie et ouvre une session. Idéal pour un **badge physique** (pépinière, événement). `badgeTtl=0` = sans expiration.
+- **Lien éphémère** — QR d'un **magic-link frais** (`@mostajs/auth`) pour **affichage à l'écran** (scan = connexion sur mobile).
+**Composition (DEVRULES §10)** : ne réimplémente RIEN — le **magic-link** vient de `@mostajs/auth` (injection `requestMagicLink`) et le **rendu QR** de `@mostajs/qrpanel` (injection `renderQr`). Membre de `mosta-auth-stack` (à côté de `@mostajs/auth`, `auth-lite`, `auth-flow`).
+```js
+import { createAuthMagicQr } from '@mostajs/auth-magic-qr';
+import { qrLive } from '@mostajs/qrpanel';
+const aq = createAuthMagicQr({
+  secret: process.env.AUTH_QR_SECRET, baseUrl: 'https://market.amia.fr',
+  badgeTtl: 0, renderQr: (url) => qrLive(url, 'Scanner pour se connecter'),
+  requestMagicLink: (id) => auth.requestLink(id),   // @mostajs/auth
+});
+const badge = aq.badgeQr('user-42');                 // QR de badge (à imprimer)
+// endpoint : GET /login/qr?token=…  → const { userId } = aq.verifyBadge(token) ; ouvrir session.
+```
+API : voir `llms.txt`. Tests : `npm test` (4). AGPL-3.0-or-later.

package/llms.txt ADDED Viewed

@@ -0,0 +1,11 @@
+# @mostajs/auth-magic-qr
+Connexion par QR (option A : le QR ENCODE un lien). Compose @mostajs/auth (magic-link) + @mostajs/qrpanel (rendu) par INJECTION. Membre de mosta-auth-stack. Pilotable .env.
+## API
+createAuthMagicQr({ secret, baseUrl, badgeTtl=0, renderQr, requestMagicLink, path='/login/qr', now }) →
+- badgeToken(userId) → "userId.exp.sigHMAC" (badge PERSISTANT ; badgeTtl=0 = sans expiration)
+- verifyBadge(token) → { userId } | null (signature timing-safe + expiration)
+- badgeUrl(userId) → `${baseUrl}${path}?token=…`
+- badgeQr(userId, opts) → renderQr(url) si injecté sinon url
+- loginLinkQr(identifier, opts) → { url, qr } : magic-link FRAIS (éphémère, écran) via requestMagicLink injecté
+## Usage hôte
+Badge : imprimer badgeQr(userId) ; endpoint GET /login/qr?token=… → verifyBadge → ouvrir session. Écran : afficher loginLinkQr(email).qr.

package/package.json ADDED Viewed

@@ -0,0 +1,33 @@
+{
+  "name": "@mostajs/auth-magic-qr",
+  "version": "0.1.0",
+  "description": "Connexion par QR (option A) : le QR encode un lien de connexion — badge PERSISTANT (jeton signé HMAC → endpoint de session) ou lien magique ÉPHÉMÈRE (écran). Compose @mostajs/auth (magic-link) + @mostajs/qrpanel (rendu) par injection. Membre de mosta-auth-stack. Pilotable par .env.",
+  "license": "AGPL-3.0-or-later",
+  "author": "Dr Hamid MADANI <drmdh@msn.com>",
+  "type": "module",
+  "main": "src/index.js",
+  "files": [
+    "src",
+    "llms.txt",
+    "README.md",
+    "CHANGELOG.md"
+  ],
+  "exports": {
+    ".": "./src/index.js"
+  },
+  "keywords": [
+    "mostajs",
+    "auth",
+    "qr",
+    "login",
+    "badge",
+    "magic-link",
+    "passwordless"
+  ],
+  "devDependencies": {
+    "@mostajs/mjs-unit": "^0.3.0"
+  },
+  "scripts": {
+    "test": "bash test-scripts/run-tests.sh"
+  }
+}

package/src/index.js ADDED Viewed

@@ -0,0 +1,57 @@
+// @mostajs/auth-magic-qr — connexion par QR (option A : le QR ENCODE un lien de connexion). Author: Dr Hamid MADANI <drmdh@msn.com>
+// Deux usages, pilotables par l'hôte (via .env) :
+//   • badge PERSISTANT : QR d'un jeton signé (HMAC) → URL /login/qr?token=… → l'hôte vérifie et ouvre une session.
+//   • lien ÉPHÉMÈRE : QR d'un magic-link frais (@mostajs/auth) pour affichage à l'écran.
+// COMPOSE (injection) : un générateur de magic-link (@mostajs/auth) et un rendu QR (@mostajs/qrpanel) — ne les réimplémente pas (DEVRULES §10).
+import crypto from 'node:crypto';
+const b64url = (buf) => buf.toString('base64').replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
+const timingEqual = (a, b) => { const x = Buffer.from(String(a)), y = Buffer.from(String(b)); return x.length === y.length && crypto.timingSafeEqual(x, y); };
+/**
+ * @param secret           secret HMAC des jetons de badge (REQUIS pour le badge).
+ * @param baseUrl          base des URLs (ex. https://market.amia.fr).
+ * @param badgeTtl         validité du badge en secondes (0 = sans expiration — un badge physique).
+ * @param renderQr         (data, opts) => string|dataURL  — injecté (qrpanel qrSvg/qrLive/qrPng) ; sinon renvoie l'URL brute.
+ * @param requestMagicLink (identifier) => Promise<{url}|string>  — injecté (@mostajs/auth) pour le QR éphémère.
+ * @param path             chemin de l'endpoint de vérification du badge (def. '/login/qr').
+ * @param now              injection horloge (tests).
+ */
+export function createAuthMagicQr({ secret, baseUrl = '', badgeTtl = 0, renderQr = null, requestMagicLink = null, path = '/login/qr', now = () => Date.now() } = {}) {
+  // ── Badge persistant : jeton "userId.exp.signature" (HMAC-SHA256). ──
+  function badgeToken(userId) {
+    if (!secret) throw new Error('auth-magic-qr: secret requis pour les badges');
+    const exp = badgeTtl ? Math.floor(now() / 1000) + badgeTtl : 0;
+    const uid = b64url(Buffer.from(String(userId), 'utf8'));   // encode (un email contient des '.', qui sont le séparateur)
+    const payload = `${uid}.${exp}`;
+    const sig = b64url(crypto.createHmac('sha256', secret).update(payload).digest());
+    return `${payload}.${sig}`;
+  }
+  /** Vérifie un jeton de badge → { userId } ou null (signature/expiration). */
+  function verifyBadge(token) {
+    if (!token || !secret) return null;
+    const parts = String(token).split('.');
+    if (parts.length !== 3) return null;
+    const [uid, exp, sig] = parts;
+    const expected = b64url(crypto.createHmac('sha256', secret).update(`${uid}.${exp}`).digest());
+    if (!timingEqual(sig, expected)) return null;
+    if (Number(exp) && Number(exp) < Math.floor(now() / 1000)) return null;
+    let userId; try { userId = Buffer.from(uid.replace(/-/g, '+').replace(/_/g, '/'), 'base64').toString('utf8'); } catch { return null; }
+    return { userId };
+  }
+  const badgeUrl = (userId) => `${baseUrl}${path}?token=${encodeURIComponent(badgeToken(userId))}`;
+  /** QR du badge (persistant) — string SVG/PNG si renderQr injecté, sinon l'URL. */
+  const badgeQr = (userId, opts) => { const url = badgeUrl(userId); return renderQr ? renderQr(url, opts) : url; };
+  /** QR d'un lien magique FRAIS (éphémère, pour l'écran) → { url, qr }. */
+  async function loginLinkQr(identifier, opts) {
+    if (!requestMagicLink) throw new Error('auth-magic-qr: requestMagicLink requis pour le QR éphémère');
+    const r = await requestMagicLink(identifier);
+    const url = (r && r.url) ? r.url : String(r);
+    return { url, qr: renderQr ? renderQr(url, opts) : url };
+  }
+  return { badgeToken, verifyBadge, badgeUrl, badgeQr, loginLinkQr };
+}
+export default createAuthMagicQr;