npm - @mostajs/auth - Versions diffs - 3.1.0 → 3.2.0 - Mend

@mostajs/auth 3.1.0 → 3.2.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (3) hide show

package/dist/lib/invite-token.d.ts +54 -0
package/dist/lib/invite-token.js +105 -0
package/package.json +6 -1

package/dist/lib/invite-token.d.ts ADDED Viewed

@@ -0,0 +1,54 @@
+export interface InviteTokenPayload {
+    /** Identifiant opaque de la ressource (project id, cohort id, etc.). */
+    id: string;
+    /** Expiration epoch ms. */
+    exp: number;
+    /** Version du format (réservé pour évolutions, default 1). */
+    v?: number;
+    /** Champs métier libres — ex: kind, role, scope. */
+    meta?: Record<string, string | number | boolean>;
+}
+/**
+ * Signe un token. Le payload est sérialisé en JSON puis encodé en
+ * base64url, signé HMAC-SHA256 avec `secret`. La signature est
+ * concaténée au payload : `body.sig`.
+ *
+ * @param secret  Clé HMAC (≥ 32 bytes recommandés en prod).
+ * @param id      Identifiant de la ressource encodée.
+ * @param ttlMs   Durée de validité en ms (default 60 jours).
+ * @param meta    Champs métier optionnels.
+ */
+export declare function signInviteToken(secret: string | Buffer, id: string, ttlMs?: number, meta?: Record<string, string | number | boolean>): string;
+export type VerifyResult = {
+    ok: true;
+    payload: InviteTokenPayload;
+} | {
+    ok: false;
+    reason: 'malformed' | 'bad_signature' | 'expired';
+};
+/**
+ * Vérifie + décode un token. Validation en 3 passes :
+ *   1. format `<body>.<sig>`
+ *   2. signature HMAC en time-safe compare
+ *   3. payload non expiré
+ */
+export declare function verifyInviteToken(secret: string | Buffer, token: string): VerifyResult;
+/**
+ * Variante simplifiée — retourne le payload ou null si invalide.
+ * Utile pour les callers qui ne distinguent pas les raisons d'échec.
+ */
+export declare function decodeInviteToken(secret: string | Buffer, token: string): InviteTokenPayload | null;
+/**
+ * Factory — retourne `{ sign, verify, decode }` pré-liés à un secret.
+ * Évite de répéter le secret à chaque appel.
+ *
+ * @example
+ *   const inviteTokens = createInviteTokenSigner(process.env.INVITE_SECRET!)
+ *   const t = inviteTokens.sign('project-42')
+ *   const p = inviteTokens.decode(t)
+ */
+export declare function createInviteTokenSigner(secret: string | Buffer): {
+    sign: (id: string, ttlMs?: number, meta?: Record<string, string | number | boolean>) => string;
+    verify: (token: string) => VerifyResult;
+    decode: (token: string) => InviteTokenPayload | null;
+};

package/dist/lib/invite-token.js ADDED Viewed

@@ -0,0 +1,105 @@
+// @mostajs/auth — Invite token (HMAC signed) — v3.2.0+
+// Author: Dr Hamid MADANI <drmdh@msn.com>
+//
+// Token signé HMAC pour matérialiser une invitation persistente vers une
+// ressource (projet, cohort, contenu privé). Plus léger qu'un magic-link :
+//   - pas de nonce single-use → le même lien peut être scanné/cliqué N fois
+//   - pas de DB write → pure crypto stateless
+//   - TTL long (jours / semaines) — adapté au QR code affiché en
+//     présentation, ou au lien collé dans un mailing étalé.
+//
+// Compromis : un attaquant qui intercepte le lien peut s'inscrire à la
+// place du destinataire — d'où la signature HMAC + un payload minimal
+// (juste un id de ressource), et l'usage en complément d'un magic-link
+// sur les actions sensibles.
+//
+// Format : `<base64url(json-payload)>.<base64url(hmac)>`
+import { createHmac, timingSafeEqual } from 'node:crypto';
+function b64url(buf) {
+    return buf.toString('base64').replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
+}
+function fromB64url(s) {
+    const pad = (4 - (s.length % 4)) % 4;
+    return Buffer.from(s.replace(/-/g, '+').replace(/_/g, '/') + '='.repeat(pad), 'base64');
+}
+function asKey(secret) {
+    return Buffer.isBuffer(secret) ? secret : Buffer.from(secret, 'utf8');
+}
+/**
+ * Signe un token. Le payload est sérialisé en JSON puis encodé en
+ * base64url, signé HMAC-SHA256 avec `secret`. La signature est
+ * concaténée au payload : `body.sig`.
+ *
+ * @param secret  Clé HMAC (≥ 32 bytes recommandés en prod).
+ * @param id      Identifiant de la ressource encodée.
+ * @param ttlMs   Durée de validité en ms (default 60 jours).
+ * @param meta    Champs métier optionnels.
+ */
+export function signInviteToken(secret, id, ttlMs = 60 * 24 * 3600 * 1000, meta) {
+    const payload = { id, exp: Date.now() + ttlMs, v: 1 };
+    if (meta)
+        payload.meta = meta;
+    const body = b64url(Buffer.from(JSON.stringify(payload), 'utf8'));
+    const sig = createHmac('sha256', asKey(secret)).update(body).digest();
+    return `${body}.${b64url(sig)}`;
+}
+/**
+ * Vérifie + décode un token. Validation en 3 passes :
+ *   1. format `<body>.<sig>`
+ *   2. signature HMAC en time-safe compare
+ *   3. payload non expiré
+ */
+export function verifyInviteToken(secret, token) {
+    const parts = token.split('.');
+    if (parts.length !== 2)
+        return { ok: false, reason: 'malformed' };
+    const [body, sig] = parts;
+    const expected = createHmac('sha256', asKey(secret)).update(body).digest();
+    let got;
+    try {
+        got = fromB64url(sig);
+    }
+    catch {
+        return { ok: false, reason: 'malformed' };
+    }
+    if (got.length !== expected.length)
+        return { ok: false, reason: 'bad_signature' };
+    if (!timingSafeEqual(got, expected))
+        return { ok: false, reason: 'bad_signature' };
+    let payload;
+    try {
+        payload = JSON.parse(fromB64url(body).toString('utf8'));
+    }
+    catch {
+        return { ok: false, reason: 'malformed' };
+    }
+    if (typeof payload.id !== 'string' || typeof payload.exp !== 'number')
+        return { ok: false, reason: 'malformed' };
+    if (Date.now() > payload.exp)
+        return { ok: false, reason: 'expired' };
+    return { ok: true, payload };
+}
+/**
+ * Variante simplifiée — retourne le payload ou null si invalide.
+ * Utile pour les callers qui ne distinguent pas les raisons d'échec.
+ */
+export function decodeInviteToken(secret, token) {
+    const r = verifyInviteToken(secret, token);
+    return r.ok ? r.payload : null;
+}
+/**
+ * Factory — retourne `{ sign, verify, decode }` pré-liés à un secret.
+ * Évite de répéter le secret à chaque appel.
+ *
+ * @example
+ *   const inviteTokens = createInviteTokenSigner(process.env.INVITE_SECRET!)
+ *   const t = inviteTokens.sign('project-42')
+ *   const p = inviteTokens.decode(t)
+ */
+export function createInviteTokenSigner(secret) {
+    return {
+        sign: (id, ttlMs, meta) => signInviteToken(secret, id, ttlMs, meta),
+        verify: (token) => verifyInviteToken(secret, token),
+        decode: (token) => decodeInviteToken(secret, token),
+    };
+}

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@mostajs/auth",
-  "version": "3.1.0",
+  "version": "3.2.0",
   "description": "Authentication — complete: email/password (Argon2id) + OAuth + magic link + MFA TOTP + WebAuthn/Passkeys + RGPD lifecycle + device_flow/pkce events + accountId propagation server↔client",
   "author": "Dr Hamid MADANI <drmdh@msn.com>",
   "license": "AGPL-3.0-or-later",
@@ -118,6 +118,11 @@
       "import": "./dist/lib/anon-token.js",
       "default": "./dist/lib/anon-token.js"
     },
+    "./lib/invite-token": {
+      "types": "./dist/lib/invite-token.d.ts",
+      "import": "./dist/lib/invite-token.js",
+      "default": "./dist/lib/invite-token.js"
+    },
     "./lib/mfa-totp": {
       "types": "./dist/lib/mfa-totp.d.ts",
       "import": "./dist/lib/mfa-totp.js",