@mostajs/auth 3.2.0 → 3.3.0

package/dist/lib/passwordless.d.ts

@@ -0,0 +1,41 @@
+/** Repo minimum requis — typiquement `UserRepository` de @mostajs/rbac. */
+export interface PasswordlessUserRepo<U = any> {
+    findByEmail(email: string): Promise<U | null>;
+    create(data: any): Promise<U | void>;
+}
+export interface FindOrCreatePasswordlessOptions {
+    /** Prénom — défaut : local-part de l'email. */
+    firstName?: string;
+    /** Nom — défaut : '·' (placeholder visible mais non vide). */
+    lastName?: string;
+    /** Locale — défaut : 'fr'. */
+    locale?: string;
+    /** Téléphone optionnel. */
+    phone?: string;
+    /** verified par défaut true (l'utilisateur a prouvé l'email via le canal magic-link). */
+    verified?: boolean;
+}
+/**
+ * Lookup-or-create idempotent pour un flux passwordless.
+ *
+ * Comportement :
+ *   - normalise l'email (lowercase + trim)
+ *   - valide format (regex minimaliste, retourne null si invalide)
+ *   - retourne le user existant
+ *   - sinon crée avec `password = await hashPassword(randomBytes(24).toString('hex'))`
+ *     → hash Argon2id valide d'un password aléatoire **inconnu de tous**
+ *     → `comparePassword(any, this.password)` retournera toujours `false`
+ *     → impossible de login par password sur ce user (exactement le but)
+ *   - firstName / lastName placeholder pour respecter required:true du schema rbac
+ *
+ * Si l'app permet plus tard l'auth password, le user passe par
+ * password-reset pour se définir un password réel.
+ *
+ * @example
+ *   import { findOrCreatePasswordless } from '@mostajs/auth/lib/passwordless'
+ *   import { UserRepository } from '@mostajs/rbac/server'
+ *
+ *   const userRepo = new UserRepository(dialect)
+ *   const user = await findOrCreatePasswordless(userRepo, 'alice@example.com')
+ */
+export declare function findOrCreatePasswordless<U = any>(userRepo: PasswordlessUserRepo<U>, email: string, opts?: FindOrCreatePasswordlessOptions): Promise<U | null>;

package/dist/lib/passwordless.js

@@ -0,0 +1,62 @@
+// @mostajs/auth — Passwordless user provisioning — v3.3.0+
+// Author: Dr Hamid MADANI <drmdh@msn.com>
+//
+// Helper pour les flux **magic-link / OAuth / passkey-only** où
+// l'utilisateur n'a jamais à saisir de password. Le User en DB est
+// créé avec un password aléatoire HASHÉ Argon2id que **personne ne
+// connaît** — `comparePassword` retournera toujours `false` pour ce
+// user, garantissant l'impossibilité d'un login par mot de passe (ce
+// qui est exactement le comportement voulu).
+//
+// Le helper prend le `userRepo` en paramètre (DI) — il n'impose pas
+// `@mostajs/rbac` comme dependency, mais accepte n'importe quel repo
+// qui implémente `findByEmail` + `create` avec la signature attendue.
+import { randomBytes } from 'node:crypto';
+import { hashPassword } from './password.js';
+const EMAIL_REGEX = /^[^@\s]+@[^@\s]+\.[^@\s]+$/;
+/**
+ * Lookup-or-create idempotent pour un flux passwordless.
+ *
+ * Comportement :
+ *   - normalise l'email (lowercase + trim)
+ *   - valide format (regex minimaliste, retourne null si invalide)
+ *   - retourne le user existant
+ *   - sinon crée avec `password = await hashPassword(randomBytes(24).toString('hex'))`
+ *     → hash Argon2id valide d'un password aléatoire **inconnu de tous**
+ *     → `comparePassword(any, this.password)` retournera toujours `false`
+ *     → impossible de login par password sur ce user (exactement le but)
+ *   - firstName / lastName placeholder pour respecter required:true du schema rbac
+ *
+ * Si l'app permet plus tard l'auth password, le user passe par
+ * password-reset pour se définir un password réel.
+ *
+ * @example
+ *   import { findOrCreatePasswordless } from '@mostajs/auth/lib/passwordless'
+ *   import { UserRepository } from '@mostajs/rbac/server'
+ *
+ *   const userRepo = new UserRepository(dialect)
+ *   const user = await findOrCreatePasswordless(userRepo, 'alice@example.com')
+ */
+export async function findOrCreatePasswordless(userRepo, email, opts) {
+    const e = String(email ?? '').toLowerCase().trim();
+    if (!e || !EMAIL_REGEX.test(e))
+        return null;
+    const existing = await userRepo.findByEmail(e);
+    if (existing)
+        return existing;
+    const localPart = e.split('@')[0] || 'user';
+    // Hash Argon2id d'un random — personne ne connaît le plain
+    const randomPlain = randomBytes(24).toString('hex');
+    const hashedPassword = await hashPassword(randomPlain);
+    await userRepo.create({
+        email: e,
+        password: hashedPassword,
+        firstName: opts?.firstName ?? localPart,
+        lastName: opts?.lastName ?? '·',
+        phone: opts?.phone,
+        locale: opts?.locale ?? 'fr',
+        status: 'active',
+        verified: opts?.verified ?? true,
+    });
+    return userRepo.findByEmail(e);
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@mostajs/auth",
-  "version": "3.2.0",
+  "version": "3.3.0",
   "description": "Authentication — complete: email/password (Argon2id) + OAuth + magic link + MFA TOTP + WebAuthn/Passkeys + RGPD lifecycle + device_flow/pkce events + accountId propagation server↔client",
   "author": "Dr Hamid MADANI <drmdh@msn.com>",
   "license": "AGPL-3.0-or-later",
@@ -123,6 +123,11 @@
       "import": "./dist/lib/invite-token.js",
       "default": "./dist/lib/invite-token.js"
     },
+    "./lib/passwordless": {
+      "types": "./dist/lib/passwordless.d.ts",
+      "import": "./dist/lib/passwordless.js",
+      "default": "./dist/lib/passwordless.js"
+    },
     "./lib/mfa-totp": {
       "types": "./dist/lib/mfa-totp.d.ts",
       "import": "./dist/lib/mfa-totp.js",