@ollaid/native-sso 1.0.0 → 1.0.3

package/README.md

@@ -60,6 +60,7 @@ function App() {
           <NativeSSOPage
             saasApiUrl="https://mon-saas.com/api"
             iamApiUrl="https://identityam.ollaid.com/api"
+            accountType="user"
             onLoginSuccess={(token, user) => {
               console.log('Connecté !', user.name);
               navigate('/dashboard');
@@ -95,15 +96,220 @@ La page `/auth/sso` gère automatiquement :
 |------|------|--------|-------------|
 | `saasApiUrl` | `string` | ✅ | URL du backend SaaS (ex: `https://mon-saas.com/api`) |
 | `iamApiUrl` | `string` | ✅ | URL du backend IAM (ex: `https://identityam.ollaid.com/api`) |
+| `accountType` | `'user' \| 'client'` | ❌ | Type de compte à persister dans localStorage (défaut: `'user'`). Utile si vous avez plusieurs pages SSO avec des rôles différents. |
+| `configPrefix` | `string` | ❌ | **Multi-tenant** : préfixe de configuration IAM côté backend (défaut: `'iam'`). Permet à un même backend SaaS de gérer N applications IAM. Voir [Multi-Tenant](#multi-tenant-plusieurs-applications-sur-le-même-backend). |
 | `onLoginSuccess` | `(token: string, user: UserInfos) => void` | ❌ | Callback après connexion réussie |
 | `onLogout` | `() => void` | ❌ | Callback après déconnexion |
-| `debug` | `boolean` | ❌ | Active les logs console |
 | `title` | `string` | ❌ | Titre personnalisé (défaut: "Un compte, plusieurs accès") |
 | `description` | `string` | ❌ | Description personnalisée |
 | `logoUrl` | `string` | ❌ | URL du logo (remplace le slider) |
 | `hideFooter` | `boolean` | ❌ | Masquer "Propulsé par iam.ollaid.com" |
 | `onOnboardingComplete` | `(data: { image_url?: string; ccphone?: string; phone?: string }) => void` | ❌ | Callback après complétion de l'onboarding |
 
+> **Note :** Le mode `debug` est contrôlé **uniquement** par le backend via la variable d'environnement `IAM_DEBUG` dans le `.env` du SaaS. Il n'y a plus de prop `debug` à passer au composant. Le `DebugPanel` est **réactif** : il apparaît automatiquement après le chargement des credentials si `debug: true` est retourné par le backend.
+
+---
+
+## Multi-Tenant (plusieurs applications sur le même backend)
+
+Le package supporte N applications IAM sur le même backend SaaS via le prop `configPrefix`. C'est dynamique : vous pouvez ajouter autant d'applications que nécessaire sans modifier le code du package.
+
+### Principe
+
+Le frontend envoie un header `X-IAM-Config-Prefix` dans tous les appels au SaaS. Le backend utilise ce préfixe pour résoudre dynamiquement le bon bloc de configuration.
+
+```
+Frontend (configPrefix="iam_vendor")
+  → GET /api/native/config  [Header: X-IAM-Config-Prefix: iam_vendor]
+
+Backend SaaS:
+  $prefix = $request->header('X-IAM-Config-Prefix', 'iam');
+  $appKey = config("services.{$prefix}.app_key");  // ← résolution dynamique
+```
+
+### Côté Frontend
+
+```tsx
+{/* Page login principale */}
+<NativeSSOPage
+  saasApiUrl="https://votre-saas.com/api"
+  iamApiUrl="https://identityam.ollaid.com/api"
+  configPrefix="iam"
+  accountType="user"
+/>
+
+{/* Page login espace vendeur */}
+<NativeSSOPage
+  saasApiUrl="https://votre-saas.com/api"
+  iamApiUrl="https://identityam.ollaid.com/api"
+  configPrefix="iam_vendor"
+  accountType="client"
+/>
+
+{/* Page login admin — même backend, app IAM différente */}
+<NativeSSOPage
+  saasApiUrl="https://votre-saas.com/api"
+  iamApiUrl="https://identityam.ollaid.com/api"
+  configPrefix="iam_admin"
+  accountType="user"
+/>
+```
+
+### Côté Backend SaaS — `.env`
+
+Le préfixe `.env` correspond au `configPrefix` en UPPER_CASE. Ajoutez autant de blocs que nécessaire :
+
+```env
+# ===== Serveur IAM (partagé) =====
+IAM_API_URL=https://identityam.ollaid.com/api
+IAM_AUTH_URL=https://iam.ollaid.com
+
+# ===== Préfixe "iam" (application principale) =====
+IAM_APP_KEY=oiam_ak_xxx
+IAM_PUBLIC_KEY=oiam_pk_xxx
+IAM_SECRET_KEY=oiam_sk_xxx
+IAM_WEBHOOK_SECRET=oiam_whsec_xxx
+IAM_DEBUG=true
+
+# ===== Préfixe "iam_vendor" (espace vendeur/shop) =====
+IAM_VENDOR_APP_KEY=oiam_ak_yyy
+IAM_VENDOR_PUBLIC_KEY=oiam_pk_yyy
+IAM_VENDOR_SECRET_KEY=oiam_sk_yyy
+IAM_VENDOR_WEBHOOK_SECRET=oiam_whsec_yyy
+IAM_VENDOR_DEBUG=false
+
+# ===== Préfixe "iam_client" (espace client) =====
+IAM_CLIENT_APP_KEY=oiam_ak_zzz
+IAM_CLIENT_SECRET_KEY=oiam_sk_zzz
+IAM_CLIENT_DEBUG=true
+
+# ===== Préfixe "iam_admin" (back-office) =====
+IAM_ADMIN_APP_KEY=oiam_ak_aaa
+IAM_ADMIN_SECRET_KEY=oiam_sk_aaa
+IAM_ADMIN_DEBUG=true
+```
+
+### Côté Backend SaaS — `config/services.php`
+
+```php
+return [
+    'iam' => [
+        'api_url'    => env('IAM_API_URL', 'https://identityam.ollaid.com/api'),
+        'app_key'    => env('IAM_APP_KEY'),
+        'public_key' => env('IAM_PUBLIC_KEY'),
+        'secret_key' => env('IAM_SECRET_KEY'),
+        'debug'      => env('IAM_DEBUG', false),
+    ],
+    'iam_vendor' => [
+        'api_url'    => env('IAM_API_URL'),
+        'app_key'    => env('IAM_VENDOR_APP_KEY'),
+        'public_key' => env('IAM_VENDOR_PUBLIC_KEY'),
+        'secret_key' => env('IAM_VENDOR_SECRET_KEY'),
+        'debug'      => env('IAM_VENDOR_DEBUG', false),
+    ],
+    'iam_client' => [
+        'api_url'    => env('IAM_API_URL'),
+        'app_key'    => env('IAM_CLIENT_APP_KEY'),
+        'secret_key' => env('IAM_CLIENT_SECRET_KEY'),
+        'debug'      => env('IAM_CLIENT_DEBUG', false),
+    ],
+    'iam_admin' => [
+        'api_url'    => env('IAM_API_URL'),
+        'app_key'    => env('IAM_ADMIN_APP_KEY'),
+        'secret_key' => env('IAM_ADMIN_SECRET_KEY'),
+        'debug'      => env('IAM_ADMIN_DEBUG', false),
+    ],
+    // Ajoutez d'autres blocs selon vos besoins...
+];
+```
+
+### Côté Backend SaaS — Controller multi-tenant
+
+Tous les controllers Native (`config`, `exchange`, `check-token`, `logout`) doivent lire le header :
+
+```php
+class NativeConfigController extends Controller
+{
+    public function getConfig(Request $request): JsonResponse
+    {
+        // Multi-tenant : résolution dynamique du préfixe
+        $prefix = $request->header('X-IAM-Config-Prefix', 'iam');
+        
+        // Sécurité : valider que le préfixe commence par "iam"
+        if (!str_starts_with($prefix, 'iam')) {
+            return response()->json(['success' => false, 'message' => 'Invalid config prefix'], 400);
+        }
+        
+        $appKey    = config("services.{$prefix}.app_key");
+        $secretKey = config("services.{$prefix}.secret_key");
+        $debug     = (bool) config("services.{$prefix}.debug", false);
+        
+        if (!$appKey || !$secretKey) {
+            return response()->json([
+                'success' => false,
+                'message' => "Configuration '{$prefix}' non trouvée",
+            ], 404);
+        }
+
+        // Chiffrement Opaque Token (AES-256-CBC)
+        $payload = json_encode(['secret_key' => $secretKey, 'ts' => time()]);
+        $key = hash('sha256', $secretKey, true);
+        $iv = random_bytes(16);
+        $encrypted = openssl_encrypt($payload, 'AES-256-CBC', $key, 0, $iv);
+        $encryptedCredentials = base64_encode($iv . '::' . $encrypted);
+
+        return response()->json([
+            'success' => true,
+            'app_key' => $appKey,
+            'encrypted_credentials' => $encryptedCredentials,
+            'credentials_ttl' => 300,
+            'debug' => $debug,
+        ]);
+    }
+}
+```
+
+> **⚠️ Important** : Appliquez la même logique `X-IAM-Config-Prefix` dans `exchange`, `check-token` et `logout`.
+
+---
+
+## Debug Mode — Troubleshooting
+
+Le debug est **piloté par le backend** : le package n'a aucun prop `debug`.
+
+### Comment ça marche
+
+1. Le backend lit `IAM_DEBUG` (ou `IAM_VENDOR_DEBUG`, etc.) depuis `.env`
+2. `GET /api/native/config` retourne `"debug": true`
+3. Le package active les logs console + le `DebugPanel`
+4. Le `DebugPanel` est **réactif** : il apparaît automatiquement après le chargement des credentials
+
+### Checklist de troubleshooting
+
+| Problème | Solution |
+|----------|----------|
+| `DebugPanel` n'apparaît pas | Vérifier que `GET /api/native/config` retourne `"debug": true` dans la réponse JSON |
+| La valeur est toujours `false` | Vérifier le `.env` : pas de typo ! (`IAM_DEBUG` et non `IAM_DEBUGL`) |
+| Changement non pris en compte | Lancer `php artisan config:clear && php artisan config:cache` |
+| Debug actif en production | Mettre `IAM_DEBUG=false` dans le `.env` de production |
+| Debug marche pour main mais pas vendor | Vérifier `IAM_VENDOR_DEBUG=true` dans `.env` + `config/services.php` |
+
+### ⚠️ Erreur fréquente : typo dans `.env`
+
+```env
+# ❌ MAUVAIS (typo "DEBUGL" avec un L en trop)
+IAM_DEBUGL=true
+
+# ✅ CORRECT
+IAM_DEBUG=true
+```
+
+Après correction, n'oubliez pas :
+```bash
+php artisan config:clear
+php artisan config:cache
+```
+
 ---
 
 ## Usage avancé (composants individuels)
@@ -227,6 +433,11 @@ $secretKey = $payload['secret_key'];
 
 ### `POST /api/native/exchange`
 
+> ⚠️ **IMPORTANT — Route PUBLIQUE obligatoire**  
+> Cette route **NE DOIT PAS** être derrière le middleware `auth:sanctum`.  
+> Si vous la placez dans un groupe `Route::middleware('auth:sanctum')`, le frontend recevra une **erreur 401 Unauthenticated** systématique car l'utilisateur n'a pas encore de token Sanctum à ce stade du flux.  
+> Assurez-vous que `/api/native/config` et `/api/native/exchange` sont **en dehors** de tout groupe authentifié.
+
 Échange le `callback_token` reçu de l'IAM contre un token Sanctum local.
 
 **Headers requis :** `Content-Type: application/json`
@@ -665,14 +876,19 @@ class NativeAuthController extends Controller
 
 ### Routes `routes/api.php`
 
+> ⚠️ **Attention au placement des routes !**  
+> `config` et `exchange` doivent être **publiques** (pas de middleware auth).  
+> `check-token` et `logout` doivent être **protégées** par `auth:sanctum`.  
+> Si `exchange` est derrière `auth:sanctum`, le frontend recevra un **401 Unauthenticated**.
+
 ```php
 use App\Http\Controllers\Api\NativeAuthController;
 
-// Routes SSO Native (pas d'auth requise)
+// ✅ Routes PUBLIQUES (pas d'auth requise — l'utilisateur n'a pas encore de token)
 Route::get('/native/config', [NativeAuthController::class, 'config']);
 Route::post('/native/exchange', [NativeAuthController::class, 'exchange']);
 
-// Routes SSO Native (auth Sanctum requise)
+// 🔒 Routes PROTÉGÉES (auth Sanctum requise — l'utilisateur a un token)
 Route::middleware('auth:sanctum')->group(function () {
     Route::post('/native/check-token', [NativeAuthController::class, 'checkToken']);
     Route::post('/native/logout', [NativeAuthController::class, 'logout']);
@@ -1370,20 +1586,27 @@ Toutes les APIs IAM retournent le même objet `user_infos` avec exactement **9 c
 
 ## Session & localStorage
 
-Le package utilise **4 clés** dans `localStorage` pour persister la session :
+Le package utilise **5 clés** dans `localStorage` pour persister la session :
 
 | Clé | Contenu | Source | Valeurs possibles |
 |-----|---------|--------|-------------------|
 | `token` | Token Sanctum (bearer) | Réponse de `/api/native/exchange` | Chaîne `"1\|abc123..."` |
 | `auth_token` | Copie du token (compatibilité) | Même source que `token` | Idem |
-| `user` | Objet `user_infos` sérialisé en JSON | Réponse de `/api/native/exchange` ou mise à jour via health check | `{"name":"...","email":"...",...}` |
+| `user` | Objet utilisateur enrichi sérialisé en JSON | Réponse de `/api/native/exchange` ou mise à jour via health check | `{"iam_reference":"USR-XXX","alias_reference":"ALI-XXX","name":"...","email":"...",...}` |
 | `account_type` | Type de compte | Déterminé lors du `exchange` selon le mode d'inscription | `"user"` (défaut) ou `"client"` (inscription phone-only) |
+| `alias_reference` | Référence alias utilisée lors de la connexion | Réponse de `/api/native/exchange` (champ `user.alias_reference`) | `"ALI-XXXXXXXX"` |
+
+> **Note :** `account_type` et `alias_reference` sont stockés **séparément** de l'objet `user` en plus d'être inclus dans le JSON de la clé `user`.
+
+#### Champs enrichis dans l'objet `user`
 
-> **Note :** `account_type` est stocké **séparément** de l'objet `user` — il n'est pas inclus dans le JSON de la clé `user`.
+L'objet `user` stocké en localStorage contient deux champs ajoutés automatiquement par le package :
+- `iam_reference` : la référence IAM de l'utilisateur (`USR-XXXXXXXX`), extraite de `user.reference`
+- `alias_reference` : la référence de l'alias utilisé lors de la connexion (`ALI-XXXXXXXX`), extraite de `user.alias_reference`
 
 ### Nettoyage
 
-Lors du `logout()`, les 4 clés sont supprimées via `clearAuthToken()`.
+Lors du `logout()`, les 5 clés sont supprimées via `clearAuthToken()`.
 
 ### Accès programmatique
 
@@ -1391,8 +1614,9 @@ Lors du `logout()`, les 4 clés sont supprimées via `clearAuthToken()`.
 import { getAuthToken, getAuthUser, getAccountType } from '@ollaid/native-sso';
 
 const token = getAuthToken();           // string | null
-const user = getAuthUser<UserInfos>();  // UserInfos | null
+const user = getAuthUser<UserInfos>();  // UserInfos | null  — contient iam_reference et alias_reference
 const type = getAccountType();          // string | null
+const aliasRef = localStorage.getItem('alias_reference'); // string | null
 ```
 
 ---

package/dist/components/AppsLogoSlider.d.ts

@@ -4,6 +4,7 @@
 interface AppsLogoSliderProps {
     speed?: 'slow' | 'normal' | 'fast';
     className?: string;
+    iamApiUrl?: string;
 }
-export declare function AppsLogoSlider({ speed, className }: AppsLogoSliderProps): import("react/jsx-runtime").JSX.Element | null;
+export declare function AppsLogoSlider({ speed, className, iamApiUrl: iamApiUrlProp }: AppsLogoSliderProps): import("react/jsx-runtime").JSX.Element | null;
 export default AppsLogoSlider;

package/dist/components/LoginModal.d.ts

@@ -14,7 +14,8 @@ export interface LoginModalProps {
     iamApiUrl: string;
     loading?: boolean;
     showSwitchToSignup?: boolean;
-    debug?: boolean;
+    /** Type de compte par défaut à persister dans localStorage */
+    defaultAccountType?: 'user' | 'client';
 }
-export declare function LoginModal({ open, onOpenChange, onSwitchToSignup, onLoginSuccess, saasApiUrl, iamApiUrl, loading, showSwitchToSignup, debug, }: LoginModalProps): import("react/jsx-runtime").JSX.Element;
+export declare function LoginModal({ open, onOpenChange, onSwitchToSignup, onLoginSuccess, saasApiUrl, iamApiUrl, loading, showSwitchToSignup, defaultAccountType, }: LoginModalProps): import("react/jsx-runtime").JSX.Element;
 export default LoginModal;

package/dist/components/NativeSSOPage.d.ts

@@ -20,8 +20,13 @@ export interface NativeSSOPageProps {
         ccphone?: string;
         phone?: string;
     }) => void;
-    /** Mode debug */
-    debug?: boolean;
+    /** Type de compte à persister dans localStorage (défaut: 'user') */
+    accountType?: 'user' | 'client';
+    /**
+     * Préfixe de configuration IAM côté backend (défaut: 'iam').
+     * Permet le multi-tenant : 'iam', 'iam_vendor', 'iam_client', 'iam_admin', etc.
+     */
+    configPrefix?: string;
     /** Titre personnalisé */
     title?: string;
     /** Description personnalisée */
@@ -31,5 +36,5 @@ export interface NativeSSOPageProps {
     /** Masquer le footer "Propulsé par" */
     hideFooter?: boolean;
 }
-export declare function NativeSSOPage({ saasApiUrl, iamApiUrl, onLoginSuccess, onLogout, onOnboardingComplete, debug, title, description, logoUrl, hideFooter, }: NativeSSOPageProps): import("react/jsx-runtime").JSX.Element;
+export declare function NativeSSOPage({ saasApiUrl, iamApiUrl, onLoginSuccess, onLogout, onOnboardingComplete, accountType, configPrefix, title, description, logoUrl, hideFooter, }: NativeSSOPageProps): import("react/jsx-runtime").JSX.Element;
 export default NativeSSOPage;

package/dist/components/PasswordRecoveryModal.d.ts

@@ -11,7 +11,6 @@ export interface PasswordRecoveryModalProps {
     onSuccess: () => void;
     saasApiUrl: string;
     iamApiUrl: string;
-    debug?: boolean;
 }
-export declare function PasswordRecoveryModal({ open, onOpenChange, onSuccess, saasApiUrl, iamApiUrl, debug }: PasswordRecoveryModalProps): import("react/jsx-runtime").JSX.Element;
+export declare function PasswordRecoveryModal({ open, onOpenChange, onSuccess, saasApiUrl, iamApiUrl }: PasswordRecoveryModalProps): import("react/jsx-runtime").JSX.Element;
 export default PasswordRecoveryModal;

package/dist/components/SignupModal.d.ts

@@ -12,7 +12,8 @@ export interface SignupModalProps {
     onSignupSuccess: (token: string, user: UserInfos) => void;
     saasApiUrl: string;
     iamApiUrl: string;
-    debug?: boolean;
+    /** Type de compte par défaut à persister dans localStorage */
+    defaultAccountType?: 'user' | 'client';
 }
-export declare function SignupModal({ open, onOpenChange, onSwitchToLogin, onSignupSuccess, saasApiUrl, iamApiUrl, debug }: SignupModalProps): import("react/jsx-runtime").JSX.Element;
+export declare function SignupModal({ open, onOpenChange, onSwitchToLogin, onSignupSuccess, saasApiUrl, iamApiUrl, defaultAccountType }: SignupModalProps): import("react/jsx-runtime").JSX.Element;
 export default SignupModal;

package/dist/hooks/useMobilePassword.d.ts

@@ -8,7 +8,6 @@ export interface UseMobilePasswordOptions {
     saasApiUrl: string;
     iamApiUrl: string;
     autoLoadCredentials?: boolean;
-    debug?: boolean;
 }
 export declare function useMobilePassword(options: UseMobilePasswordOptions): {
     credentialsLoaded: boolean;

package/dist/hooks/useMobileRegistration.d.ts

@@ -19,7 +19,6 @@ interface RegistrationConflict {
 export interface UseMobileRegistrationOptions {
     saasApiUrl: string;
     iamApiUrl: string;
-    debug?: boolean;
 }
 export declare function useMobileRegistration(options?: UseMobileRegistrationOptions): {
     processToken: string | null;

package/dist/hooks/useNativeAuth.d.ts

@@ -12,8 +12,13 @@ export interface UseNativeAuthOptions {
     iamApiUrl: string;
     /** Charger les credentials automatiquement au montage */
     autoLoadCredentials?: boolean;
-    /** Mode debug */
-    debug?: boolean;
+    /** Type de compte par défaut à persister (défaut: 'user') */
+    defaultAccountType?: 'user' | 'client';
+    /**
+     * Préfixe de configuration IAM côté backend (défaut: 'iam').
+     * Permet le multi-tenant dynamique : 'iam', 'iam_vendor', 'iam_client', etc.
+     */
+    configPrefix?: string;
 }
 export declare function useNativeAuth(options: UseNativeAuthOptions): {
     credentialsLoaded: boolean;
@@ -49,6 +54,8 @@ export declare function useNativeAuth(options: UseNativeAuthOptions): {
     error: string | null;
     errorType: string | null;
     isAuthenticated: boolean;
+    /** Debug réactif — mis à jour après loadCredentials */
+    isDebug: boolean;
     accountType: AccountType;
     isPhoneOnly: boolean;
     otpMethod: "email" | "sms" | null | undefined;
@@ -117,7 +124,22 @@ export declare function useNativeAuth(options: UseNativeAuthOptions): {
         error_type?: undefined;
     } | {
         success: boolean;
-        user: import("..").NativeUser;
+        user: {
+            iam_reference: string;
+            alias_reference: any;
+            id?: number;
+            reference: string;
+            name: string;
+            email?: string | null;
+            phone?: string;
+            ccphone?: string;
+            image_url?: string;
+            account_type?: "user" | "client";
+            town?: string;
+            country?: string;
+            address?: string;
+            auth_2fa?: boolean;
+        };
         callback_token: string;
         error?: undefined;
         requires_2fa?: undefined;
@@ -157,7 +179,22 @@ export declare function useNativeAuth(options: UseNativeAuthOptions): {
         error_type?: undefined;
     } | {
         success: boolean;
-        user: import("..").NativeUser;
+        user: {
+            iam_reference: string;
+            alias_reference: any;
+            id?: number;
+            reference: string;
+            name: string;
+            email?: string | null;
+            phone?: string;
+            ccphone?: string;
+            image_url?: string;
+            account_type?: "user" | "client";
+            town?: string;
+            country?: string;
+            address?: string;
+            auth_2fa?: boolean;
+        };
         callback_token: string;
         error?: undefined;
         status?: undefined;
@@ -184,7 +221,22 @@ export declare function useNativeAuth(options: UseNativeAuthOptions): {
         error_type?: undefined;
     } | {
         success: boolean;
-        user: import("..").NativeUser;
+        user: {
+            iam_reference: string;
+            alias_reference: any;
+            id?: number;
+            reference: string;
+            name: string;
+            email?: string | null;
+            phone?: string;
+            ccphone?: string;
+            image_url?: string;
+            account_type?: "user" | "client";
+            town?: string;
+            country?: string;
+            address?: string;
+            auth_2fa?: boolean;
+        };
         error?: undefined;
         error_type?: undefined;
     } | {
@@ -201,7 +253,22 @@ export declare function useNativeAuth(options: UseNativeAuthOptions): {
         error_type?: undefined;
     } | {
         success: boolean;
-        user: import("..").NativeUser;
+        user: {
+            iam_reference: string;
+            alias_reference: any;
+            id?: number;
+            reference: string;
+            name: string;
+            email?: string | null;
+            phone?: string;
+            ccphone?: string;
+            image_url?: string;
+            account_type?: "user" | "client";
+            town?: string;
+            country?: string;
+            address?: string;
+            auth_2fa?: boolean;
+        };
         callback_token: string;
         error?: undefined;
         error_type?: undefined;