@mostajs/auth 3.1.0 → 3.3.0

package/dist/lib/invite-token.d.ts

@@ -0,0 +1,54 @@
+export interface InviteTokenPayload {
+    /** Identifiant opaque de la ressource (project id, cohort id, etc.). */
+    id: string;
+    /** Expiration epoch ms. */
+    exp: number;
+    /** Version du format (réservé pour évolutions, default 1). */
+    v?: number;
+    /** Champs métier libres — ex: kind, role, scope. */
+    meta?: Record<string, string | number | boolean>;
+}
+/**
+ * Signe un token. Le payload est sérialisé en JSON puis encodé en
+ * base64url, signé HMAC-SHA256 avec `secret`. La signature est
+ * concaténée au payload : `body.sig`.
+ *
+ * @param secret  Clé HMAC (≥ 32 bytes recommandés en prod).
+ * @param id      Identifiant de la ressource encodée.
+ * @param ttlMs   Durée de validité en ms (default 60 jours).
+ * @param meta    Champs métier optionnels.
+ */
+export declare function signInviteToken(secret: string | Buffer, id: string, ttlMs?: number, meta?: Record<string, string | number | boolean>): string;
+export type VerifyResult = {
+    ok: true;
+    payload: InviteTokenPayload;
+} | {
+    ok: false;
+    reason: 'malformed' | 'bad_signature' | 'expired';
+};
+/**
+ * Vérifie + décode un token. Validation en 3 passes :
+ *   1. format `<body>.<sig>`
+ *   2. signature HMAC en time-safe compare
+ *   3. payload non expiré
+ */
+export declare function verifyInviteToken(secret: string | Buffer, token: string): VerifyResult;
+/**
+ * Variante simplifiée — retourne le payload ou null si invalide.
+ * Utile pour les callers qui ne distinguent pas les raisons d'échec.
+ */
+export declare function decodeInviteToken(secret: string | Buffer, token: string): InviteTokenPayload | null;
+/**
+ * Factory — retourne `{ sign, verify, decode }` pré-liés à un secret.
+ * Évite de répéter le secret à chaque appel.
+ *
+ * @example
+ *   const inviteTokens = createInviteTokenSigner(process.env.INVITE_SECRET!)
+ *   const t = inviteTokens.sign('project-42')
+ *   const p = inviteTokens.decode(t)
+ */
+export declare function createInviteTokenSigner(secret: string | Buffer): {
+    sign: (id: string, ttlMs?: number, meta?: Record<string, string | number | boolean>) => string;
+    verify: (token: string) => VerifyResult;
+    decode: (token: string) => InviteTokenPayload | null;
+};

package/dist/lib/invite-token.js

@@ -0,0 +1,105 @@
+// @mostajs/auth — Invite token (HMAC signed) — v3.2.0+
+// Author: Dr Hamid MADANI <drmdh@msn.com>
+//
+// Token signé HMAC pour matérialiser une invitation persistente vers une
+// ressource (projet, cohort, contenu privé). Plus léger qu'un magic-link :
+//   - pas de nonce single-use → le même lien peut être scanné/cliqué N fois
+//   - pas de DB write → pure crypto stateless
+//   - TTL long (jours / semaines) — adapté au QR code affiché en
+//     présentation, ou au lien collé dans un mailing étalé.
+//
+// Compromis : un attaquant qui intercepte le lien peut s'inscrire à la
+// place du destinataire — d'où la signature HMAC + un payload minimal
+// (juste un id de ressource), et l'usage en complément d'un magic-link
+// sur les actions sensibles.
+//
+// Format : `<base64url(json-payload)>.<base64url(hmac)>`
+import { createHmac, timingSafeEqual } from 'node:crypto';
+function b64url(buf) {
+    return buf.toString('base64').replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
+}
+function fromB64url(s) {
+    const pad = (4 - (s.length % 4)) % 4;
+    return Buffer.from(s.replace(/-/g, '+').replace(/_/g, '/') + '='.repeat(pad), 'base64');
+}
+function asKey(secret) {
+    return Buffer.isBuffer(secret) ? secret : Buffer.from(secret, 'utf8');
+}
+/**
+ * Signe un token. Le payload est sérialisé en JSON puis encodé en
+ * base64url, signé HMAC-SHA256 avec `secret`. La signature est
+ * concaténée au payload : `body.sig`.
+ *
+ * @param secret  Clé HMAC (≥ 32 bytes recommandés en prod).
+ * @param id      Identifiant de la ressource encodée.
+ * @param ttlMs   Durée de validité en ms (default 60 jours).
+ * @param meta    Champs métier optionnels.
+ */
+export function signInviteToken(secret, id, ttlMs = 60 * 24 * 3600 * 1000, meta) {
+    const payload = { id, exp: Date.now() + ttlMs, v: 1 };
+    if (meta)
+        payload.meta = meta;
+    const body = b64url(Buffer.from(JSON.stringify(payload), 'utf8'));
+    const sig = createHmac('sha256', asKey(secret)).update(body).digest();
+    return `${body}.${b64url(sig)}`;
+}
+/**
+ * Vérifie + décode un token. Validation en 3 passes :
+ *   1. format `<body>.<sig>`
+ *   2. signature HMAC en time-safe compare
+ *   3. payload non expiré
+ */
+export function verifyInviteToken(secret, token) {
+    const parts = token.split('.');
+    if (parts.length !== 2)
+        return { ok: false, reason: 'malformed' };
+    const [body, sig] = parts;
+    const expected = createHmac('sha256', asKey(secret)).update(body).digest();
+    let got;
+    try {
+        got = fromB64url(sig);
+    }
+    catch {
+        return { ok: false, reason: 'malformed' };
+    }
+    if (got.length !== expected.length)
+        return { ok: false, reason: 'bad_signature' };
+    if (!timingSafeEqual(got, expected))
+        return { ok: false, reason: 'bad_signature' };
+    let payload;
+    try {
+        payload = JSON.parse(fromB64url(body).toString('utf8'));
+    }
+    catch {
+        return { ok: false, reason: 'malformed' };
+    }
+    if (typeof payload.id !== 'string' || typeof payload.exp !== 'number')
+        return { ok: false, reason: 'malformed' };
+    if (Date.now() > payload.exp)
+        return { ok: false, reason: 'expired' };
+    return { ok: true, payload };
+}
+/**
+ * Variante simplifiée — retourne le payload ou null si invalide.
+ * Utile pour les callers qui ne distinguent pas les raisons d'échec.
+ */
+export function decodeInviteToken(secret, token) {
+    const r = verifyInviteToken(secret, token);
+    return r.ok ? r.payload : null;
+}
+/**
+ * Factory — retourne `{ sign, verify, decode }` pré-liés à un secret.
+ * Évite de répéter le secret à chaque appel.
+ *
+ * @example
+ *   const inviteTokens = createInviteTokenSigner(process.env.INVITE_SECRET!)
+ *   const t = inviteTokens.sign('project-42')
+ *   const p = inviteTokens.decode(t)
+ */
+export function createInviteTokenSigner(secret) {
+    return {
+        sign: (id, ttlMs, meta) => signInviteToken(secret, id, ttlMs, meta),
+        verify: (token) => verifyInviteToken(secret, token),
+        decode: (token) => decodeInviteToken(secret, token),
+    };
+}

package/dist/lib/passwordless.d.ts

@@ -0,0 +1,41 @@
+/** Repo minimum requis — typiquement `UserRepository` de @mostajs/rbac. */
+export interface PasswordlessUserRepo<U = any> {
+    findByEmail(email: string): Promise<U | null>;
+    create(data: any): Promise<U | void>;
+}
+export interface FindOrCreatePasswordlessOptions {
+    /** Prénom — défaut : local-part de l'email. */
+    firstName?: string;
+    /** Nom — défaut : '·' (placeholder visible mais non vide). */
+    lastName?: string;
+    /** Locale — défaut : 'fr'. */
+    locale?: string;
+    /** Téléphone optionnel. */
+    phone?: string;
+    /** verified par défaut true (l'utilisateur a prouvé l'email via le canal magic-link). */
+    verified?: boolean;
+}
+/**
+ * Lookup-or-create idempotent pour un flux passwordless.
+ *
+ * Comportement :
+ *   - normalise l'email (lowercase + trim)
+ *   - valide format (regex minimaliste, retourne null si invalide)
+ *   - retourne le user existant
+ *   - sinon crée avec `password = await hashPassword(randomBytes(24).toString('hex'))`
+ *     → hash Argon2id valide d'un password aléatoire **inconnu de tous**
+ *     → `comparePassword(any, this.password)` retournera toujours `false`
+ *     → impossible de login par password sur ce user (exactement le but)
+ *   - firstName / lastName placeholder pour respecter required:true du schema rbac
+ *
+ * Si l'app permet plus tard l'auth password, le user passe par
+ * password-reset pour se définir un password réel.
+ *
+ * @example
+ *   import { findOrCreatePasswordless } from '@mostajs/auth/lib/passwordless'
+ *   import { UserRepository } from '@mostajs/rbac/server'
+ *
+ *   const userRepo = new UserRepository(dialect)
+ *   const user = await findOrCreatePasswordless(userRepo, 'alice@example.com')
+ */
+export declare function findOrCreatePasswordless<U = any>(userRepo: PasswordlessUserRepo<U>, email: string, opts?: FindOrCreatePasswordlessOptions): Promise<U | null>;

package/dist/lib/passwordless.js

@@ -0,0 +1,62 @@
+// @mostajs/auth — Passwordless user provisioning — v3.3.0+
+// Author: Dr Hamid MADANI <drmdh@msn.com>
+//
+// Helper pour les flux **magic-link / OAuth / passkey-only** où
+// l'utilisateur n'a jamais à saisir de password. Le User en DB est
+// créé avec un password aléatoire HASHÉ Argon2id que **personne ne
+// connaît** — `comparePassword` retournera toujours `false` pour ce
+// user, garantissant l'impossibilité d'un login par mot de passe (ce
+// qui est exactement le comportement voulu).
+//
+// Le helper prend le `userRepo` en paramètre (DI) — il n'impose pas
+// `@mostajs/rbac` comme dependency, mais accepte n'importe quel repo
+// qui implémente `findByEmail` + `create` avec la signature attendue.
+import { randomBytes } from 'node:crypto';
+import { hashPassword } from './password.js';
+const EMAIL_REGEX = /^[^@\s]+@[^@\s]+\.[^@\s]+$/;
+/**
+ * Lookup-or-create idempotent pour un flux passwordless.
+ *
+ * Comportement :
+ *   - normalise l'email (lowercase + trim)
+ *   - valide format (regex minimaliste, retourne null si invalide)
+ *   - retourne le user existant
+ *   - sinon crée avec `password = await hashPassword(randomBytes(24).toString('hex'))`
+ *     → hash Argon2id valide d'un password aléatoire **inconnu de tous**
+ *     → `comparePassword(any, this.password)` retournera toujours `false`
+ *     → impossible de login par password sur ce user (exactement le but)
+ *   - firstName / lastName placeholder pour respecter required:true du schema rbac
+ *
+ * Si l'app permet plus tard l'auth password, le user passe par
+ * password-reset pour se définir un password réel.
+ *
+ * @example
+ *   import { findOrCreatePasswordless } from '@mostajs/auth/lib/passwordless'
+ *   import { UserRepository } from '@mostajs/rbac/server'
+ *
+ *   const userRepo = new UserRepository(dialect)
+ *   const user = await findOrCreatePasswordless(userRepo, 'alice@example.com')
+ */
+export async function findOrCreatePasswordless(userRepo, email, opts) {
+    const e = String(email ?? '').toLowerCase().trim();
+    if (!e || !EMAIL_REGEX.test(e))
+        return null;
+    const existing = await userRepo.findByEmail(e);
+    if (existing)
+        return existing;
+    const localPart = e.split('@')[0] || 'user';
+    // Hash Argon2id d'un random — personne ne connaît le plain
+    const randomPlain = randomBytes(24).toString('hex');
+    const hashedPassword = await hashPassword(randomPlain);
+    await userRepo.create({
+        email: e,
+        password: hashedPassword,
+        firstName: opts?.firstName ?? localPart,
+        lastName: opts?.lastName ?? '·',
+        phone: opts?.phone,
+        locale: opts?.locale ?? 'fr',
+        status: 'active',
+        verified: opts?.verified ?? true,
+    });
+    return userRepo.findByEmail(e);
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@mostajs/auth",
-  "version": "3.1.0",
+  "version": "3.3.0",
   "description": "Authentication — complete: email/password (Argon2id) + OAuth + magic link + MFA TOTP + WebAuthn/Passkeys + RGPD lifecycle + device_flow/pkce events + accountId propagation server↔client",
   "author": "Dr Hamid MADANI <drmdh@msn.com>",
   "license": "AGPL-3.0-or-later",
@@ -118,6 +118,16 @@
       "import": "./dist/lib/anon-token.js",
       "default": "./dist/lib/anon-token.js"
     },
+    "./lib/invite-token": {
+      "types": "./dist/lib/invite-token.d.ts",
+      "import": "./dist/lib/invite-token.js",
+      "default": "./dist/lib/invite-token.js"
+    },
+    "./lib/passwordless": {
+      "types": "./dist/lib/passwordless.d.ts",
+      "import": "./dist/lib/passwordless.js",
+      "default": "./dist/lib/passwordless.js"
+    },
     "./lib/mfa-totp": {
       "types": "./dist/lib/mfa-totp.d.ts",
       "import": "./dist/lib/mfa-totp.js",