@ollaid/native-sso 2.1.2 → 2.1.5

package/README.md

@@ -359,13 +359,14 @@ class NativeConfigController extends Controller
         $payload = json_encode(['secret_key' => $secretKey, 'ts' => time()]);
         $key = hash('sha256', $secretKey, true);
         $iv = random_bytes(16);
-        $encrypted = openssl_encrypt($payload, 'AES-256-CBC', $key, 0, $iv);
-        $encryptedCredentials = base64_encode($iv . '::' . $encrypted);
+        $encrypted = openssl_encrypt($payload, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
+        $encryptedCredentials = base64_encode($iv . '::' . base64_encode($encrypted));
 
         return response()->json([
             'success' => true,
             'app_key' => $appKey,
             'encrypted_credentials' => $encryptedCredentials,
+            'iam_api_url' => config("services.{$prefix}.api_url", 'https://identityam.ollaid.com/api'),
             'credentials_ttl' => 300,
             'debug' => $debug,
         ]);
@@ -637,7 +638,7 @@ Retourne un **token opaque chiffré** (`encrypted_credentials`) contenant les cr
 ```
 
 **Principe :**  
-Le SaaS chiffre `app_key + secret_key + timestamp` en AES-256-CBC en utilisant la `secret_key` elle-même comme clé de chiffrement (SHA-256 → 32 bytes).  
+Le SaaS chiffre `secret_key + timestamp` en AES-256-CBC avec `OPENSSL_RAW_DATA`, en utilisant la `secret_key` elle-même comme clé de chiffrement (SHA-256 → 32 bytes).  
 Le frontend transporte le blob opaque + l'`app_key` en clair (non sensible) vers l'IAM.  
 L'IAM retrouve la `secret_key` via l'`app_key` dans sa table `applications`, puis déchiffre le blob.
 
@@ -647,24 +648,26 @@ L'IAM retrouve la `secret_key` via l'`app_key` dans sa table `applications`, pui
 Route::get('/native/config', function () {
     $appKey = config('services.iam.app_key');
     $secretKey = config('services.iam.secret_key');
+    $iamApiUrl = config('services.iam.api_url');
     
     // Clé AES = SHA-256 de la secret_key (32 bytes binaires)
-    $aesKey = hash('sha256', $secretKey, true);
+    $encryptionKey = hash('sha256', $secretKey, true);
     $iv = random_bytes(16);
     
     $payload = json_encode([
-        'app_key'    => $appKey,
         'secret_key' => $secretKey,
         'ts'         => time(),
     ]);
     
-    $encrypted = openssl_encrypt($payload, 'aes-256-cbc', $aesKey, 0, $iv);
+    $encrypted = openssl_encrypt($payload, 'AES-256-CBC', $encryptionKey, OPENSSL_RAW_DATA, $iv);
     
     return response()->json([
-        'success' => true,
-        'app_key' => $appKey,  // En clair (non sensible, sert d'identifiant)
-        'encrypted_credentials' => base64_encode($iv . '::' . $encrypted),
-        'debug' => (bool) config('services.iam.debug'),
+        'success'               => true,
+        'app_key'               => $appKey,  // En clair (non sensible, sert d'identifiant)
+        'encrypted_credentials' => base64_encode($iv . '::' . base64_encode($encrypted)),
+        'iam_api_url'           => $iamApiUrl,
+        'credentials_ttl'       => 300,
+        'debug'                 => (bool) config('services.iam.debug'),
     ]);
 });
 ```
@@ -679,12 +682,12 @@ if (!$app) {
 }
 
 // 2. Déchiffrer avec la secret_key de l'application
-$aesKey = hash('sha256', $app->secret_key, true); // secret_key = colonne DB
+$encryptionKey = hash('sha256', $app->secret_key, true);
 $decoded = base64_decode($request->encrypted_credentials);
-[$iv, $ciphertext] = explode('::', $decoded, 2);
+[$iv, $ciphertextB64] = explode('::', $decoded, 2);
 
 $payload = json_decode(
-    openssl_decrypt($ciphertext, 'aes-256-cbc', $aesKey, 0, $iv),
+    openssl_decrypt(base64_decode($ciphertextB64), 'AES-256-CBC', $encryptionKey, OPENSSL_RAW_DATA, $iv),
     true
 );
 
@@ -693,7 +696,6 @@ if (!$payload || time() - $payload['ts'] > 300) {
     return response()->json(['success' => false, 'message' => 'Credentials expirés ou invalides'], 401);
 }
 
-$appKey = $payload['app_key'];
 $secretKey = $payload['secret_key'];
 // ... valider et continuer le flux
 ```
@@ -720,8 +722,8 @@ $secretKey = $payload['secret_key'];
 
 **Logique backend :**
 1. Recevoir le `callback_token`
-2. Appeler l'IAM `POST /api/iam/auth/decrypt` avec `app_key`, `secret_key` et le `callback_token` (remplacer les espaces par `+`)
-3. L'IAM retourne les `user_infos` (9 champs standardisés)
+2. Appeler l'IAM `POST /iam/auth/decrypt` avec les credentials dans les headers (`X-IAM-App-Key`, `X-IAM-Secret-Key`) et le token dans le body
+3. L'IAM retourne les `user_infos` (9 champs standardisés) + `app_access_token_ref`
 4. Créer ou mettre à jour l'utilisateur local
 5. Générer un token Sanctum
 6. Retourner le token + user
@@ -752,16 +754,14 @@ $secretKey = $payload['secret_key'];
 ```php
 // routes/api.php
 Route::post('/native/exchange', function (Request $request) {
-    $callbackToken = $request->input('callback_token');
-    
-    // ⚠️ IMPORTANT : Remplacer les espaces par '+' avant décryptage
-    $callbackToken = str_replace(' ', '+', $callbackToken);
+    $iamApiUrl = config('services.iam.api_url');
     
-    // Appel IAM pour décrypter
-    $response = Http::post(config('services.iam.base_url') . '/iam/auth/decrypt', [
-        'app_key'        => config('services.iam.app_key'),
-        'secret_key'     => config('services.iam.secret_key'),
-        'callback_token' => $callbackToken,
+    // Appel IAM pour décrypter — credentials dans les HEADERS
+    $response = Http::withHeaders([
+        'X-IAM-App-Key'    => config('services.iam.app_key'),
+        'X-IAM-Secret-Key' => config('services.iam.secret_key'),
+    ])->post("{$iamApiUrl}/iam/auth/decrypt", [
+        'token' => $request->callback_token,
     ]);
     
     if (!$response->successful() || !$response->json('success')) {
@@ -772,7 +772,9 @@ Route::post('/native/exchange', function (Request $request) {
         ], 401);
     }
     
-    $userInfos = $response->json('user_infos');
+    $data = $response->json();
+    $userInfos = $data['user_infos'];
+    $appAccessTokenRef = $data['app_access_token_ref'] ?? null;
     
     // Créer ou mettre à jour l'utilisateur local
     $user = User::updateOrCreate(
@@ -785,16 +787,13 @@ Route::post('/native/exchange', function (Request $request) {
             'image'           => $userInfos['image_url'] ?? null,
             'alias_reference' => $userInfos['alias_reference'],
             'user_infos'      => json_encode($userInfos),
-            'password'        => bcrypt(Str::random(32)), // Mot de passe aléatoire
+            'password'        => bcrypt(Str::random(32)),
         ]
     );
     
     // Générer un token Sanctum
     $token = $user->createToken('native-sso')->plainTextToken;
     
-    // Récupérer app_access_token_ref depuis la réponse IAM
-    $appAccessTokenRef = $response->json('user_infos.app_access_token_ref');
-    
     return response()->json([
         'success'              => true,
         'token'                => $token,
@@ -944,17 +943,19 @@ class NativeAuthController extends Controller
         $aesKey = hash('sha256', $secretKey, true);
         $iv = random_bytes(16);
         $payload = json_encode([
-            'app_key'    => $appKey,
             'secret_key' => $secretKey,
             'ts'         => time(),
         ]);
 
-        $encrypted = openssl_encrypt($payload, 'aes-256-cbc', $aesKey, 0, $iv);
+        $encrypted = openssl_encrypt($payload, 'aes-256-cbc', $aesKey, OPENSSL_RAW_DATA, $iv);
+        $encryptedCredentials = base64_encode($iv . '::' . base64_encode($encrypted));
 
         return response()->json([
             'success' => true,
             'app_key' => $appKey,  // En clair (non sensible, sert d'identifiant pour l'IAM)
-            'encrypted_credentials' => base64_encode($iv . '::' . $encrypted),
+            'encrypted_credentials' => $encryptedCredentials,
+            'iam_api_url' => config('services.iam.api_url', 'https://identityam.ollaid.com/api'),
+            'credentials_ttl' => 300,
             'debug' => (bool) config('services.iam.debug'),  // Contrôlé par IAM_DEBUG dans .env
         ]);
     }
@@ -983,18 +984,17 @@ class NativeAuthController extends Controller
             ], 400);
         }
 
-        // ⚠️ IMPORTANT : Remplacer les espaces par '+' (encodage URL)
-        $callbackToken = str_replace(' ', '+', $callbackToken);
-
         try {
-            $response = Http::timeout(30)->post(
-                config('services.iam.base_url') . '/iam/auth/decrypt',
-                [
-                    'app_key'        => config('services.iam.app_key'),
-                    'secret_key'     => config('services.iam.secret_key'),
-                    'callback_token' => $callbackToken,
-                ]
-            );
+            $response = Http::timeout(30)
+                ->withHeaders([
+                    'Content-Type'     => 'application/json',
+                    'Accept'           => 'application/json',
+                    'X-IAM-App-Key'    => config('services.iam.app_key'),
+                    'X-IAM-Secret-Key' => config('services.iam.secret_key'),
+                ])
+                ->post(config('services.iam.api_url') . '/iam/auth/decrypt', [
+                    'token' => $callbackToken,
+                ]);
 
             if (!$response->successful() || !$response->json('success')) {
                 $error = $response->json();
@@ -1052,8 +1052,15 @@ class NativeAuthController extends Controller
             $expiresAt = now()->addDays(30);
             $token = $user->createToken('native-sso', ['*'], $expiresAt);
 
-            // Récupérer app_access_token_ref depuis la réponse IAM
-            $appAccessTokenRef = $userInfos['app_access_token_ref'] ?? null;
+            // Récupérer app_access_token_ref depuis la racine de la réponse IAM
+            $appAccessTokenRef = $data['app_access_token_ref'] ?? null;
+
+            // Stocker la ref dans le token Sanctum pour le webhook de révocation
+            if ($appAccessTokenRef) {
+                $token->accessToken->forceFill([
+                    'app_access_token_ref' => $appAccessTokenRef,
+                ])->save();
+            }
 
             return response()->json([
                 'success'              => true,
@@ -1115,8 +1122,9 @@ class NativeAuthController extends Controller
         $user = $request->user();
 
         return response()->json([
-            'status' => 'connected',
-            'user'   => [
+            'status'  => 'connected',
+            'message' => 'Utilisateur connecté',
+            'user'    => [
                 'name'      => $user->name,
                 'email'     => $user->email,
                 'ccphone'   => $user->ccphone,
@@ -1145,14 +1153,17 @@ class NativeAuthController extends Controller
             
             if ($user) {
                 $sanctumTokenPlain = $request->bearerToken();
-                $user->currentAccessToken()?->delete();
+                $currentToken = $user->currentAccessToken();
+                $appAccessTokenRef = $currentToken?->app_access_token_ref ?? null;
+                
+                // Supprimer le token APRÈS avoir lu la ref
+                $currentToken?->delete();
                 
                 // Notifier l'IAM (fire-and-forget, timeout 5s)
-                if ($sanctumTokenPlain) {
+                if ($sanctumTokenPlain || $appAccessTokenRef) {
                     $iamPrefix = $request->attributes->get('iam_prefix', 'iam');
                     $iamApiUrl = config("services.{$iamPrefix}.api_url", 'https://identityam.ollaid.com/api');
                     try {
-                        $appAccessTokenRef = $user->currentAccessToken()->app_access_token_ref ?? null;
                         Http::timeout(5)->post("{$iamApiUrl}/iam/disconnect", array_filter([
                             'sanctum_token' => $sanctumTokenPlain,
                             'app_access_token_ref' => $appAccessTokenRef,
@@ -1277,7 +1288,7 @@ Ajoutez ces variables dans le fichier `.env` du backend SaaS :
 # Credentials IAM (récupérés depuis le dashboard iam.ollaid.com)
 IAM_APP_KEY=oiam_ak_xxxxxxxxxxxxxxxxxxxxxxxx
 IAM_SECRET_KEY=oiam_sk_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-IAM_BASE_URL=https://identityam.ollaid.com/api
+IAM_API_URL=https://identityam.ollaid.com/api
 
 # Mode debug — contrôle le DebugPanel et les logs côté frontend
 # true  : active le DebugPanel + logs console + détails d'erreur dans les réponses JSON
@@ -1294,7 +1305,7 @@ Et dans `config/services.php` :
 'iam' => [
     'app_key'    => env('IAM_APP_KEY'),
     'secret_key' => env('IAM_SECRET_KEY'),
-    'base_url'   => env('IAM_BASE_URL', 'https://identityam.ollaid.com/api'),
+    'api_url'    => env('IAM_API_URL', 'https://identityam.ollaid.com/api'),
     'debug'      => env('IAM_DEBUG', false),  // Active le debug côté frontend (false si absent)
 ],
 ```

package/dist/components/DebugPanel.d.ts

@@ -2,7 +2,7 @@
  * DebugPanel — Panneau de debug flottant pour @ollaid/native-sso
  * Affiche l'historique des appels API en temps réel (style terminal)
  * N'apparaît que quand debug=true
- * @version 1.0.0
+ * @version 2.1.4
  */
 interface DebugPanelProps {
     saasApiUrl: string;

package/dist/components/LoginModal.d.ts

@@ -2,7 +2,7 @@
  * Login Modal for @ollaid/native-sso
  * Complete login flow aligned with web SSO /sso/auth design
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface LoginModalProps {

package/dist/components/NativeSSOPage.d.ts

@@ -2,7 +2,7 @@
  * NativeSSOPage — Page autonome complète pour @ollaid/native-sso
  * Design aligné sur /sso/auth (fond primary, card blanche, ShieldCheck branding)
  *
- * @version 2.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface NativeSSOPageProps {

package/dist/components/OnboardingModal.d.ts

@@ -2,7 +2,7 @@
  * OnboardingModal — Post-login modal for missing profile info
  * Asks for photo + phone if not present in user_infos
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { NativeUser } from '../types/native';
 export interface OnboardingModalProps {

package/dist/components/PasswordRecoveryModal.d.ts

@@ -3,7 +3,7 @@
  * Flow: email → method-choice → OTP → new password → success
  * Design aligned with web SSO
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface PasswordRecoveryModalProps {
     open: boolean;

package/dist/components/SignupModal.d.ts

@@ -2,7 +2,7 @@
  * Signup Modal for @ollaid/native-sso — Design aligned with web SSO
  * Full signup flow: intro → account-type → info → OTP → password → confirm → success
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface SignupModalProps {

package/dist/components/ui.d.ts

@@ -3,7 +3,7 @@
  * Lightweight replacements for shadcn/ui components + inline SVG icons
  * No external dependencies required
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import React from 'react';
 export declare function IconShieldCheck(props: React.SVGProps<SVGSVGElement>): import("react/jsx-runtime").JSX.Element;

package/dist/hooks/useLogout.d.ts

@@ -22,7 +22,7 @@
  * };
  * ```
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface UseLogoutOptions {
     /** Callback appelé après une déconnexion réussie (redirection, toast, etc.) */

package/dist/hooks/useMobilePassword.d.ts

@@ -2,7 +2,7 @@
  * Hook de récupération de mot de passe v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface UseMobilePasswordOptions {
     saasApiUrl: string;

package/dist/hooks/useMobileRegistration.d.ts

@@ -2,7 +2,7 @@
  * Hook d'inscription Mobile SSO v1.0
  * Gère le flow: init → verify-otp → complete
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { MobileRegistrationFormData, AccountType } from '../types/mobile';
 interface RegistrationConflict {

package/dist/hooks/useNativeAuth.d.ts

@@ -2,7 +2,7 @@
  * Hook d'authentification Native SSO v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { NativeAuthStatus, NativeExchangeResponse, AccountType } from '../types/native';
 export interface UseNativeAuthOptions {

package/dist/hooks/useTokenHealthCheck.d.ts

@@ -10,7 +10,7 @@
  * - Si 401 → révoque l'IAM (POST /iam/disconnect) + nettoie le frontend
  * - Ne déconnecte PAS si offline ou serveur inaccessible
  *
- * @version 2.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface UseTokenHealthCheckOptions {

package/dist/index.cjs

@@ -2529,17 +2529,11 @@ function LoginModal({
       setPhone(initialPhone);
     }
   }, [open, initialPhone]);
-  const exchangeCallbackToken = async (callbackToken) => {
-    try {
-      const response = await nativeAuthService.exchange(callbackToken);
-      if (response.success && response.token) {
-        setLoginData({ token: response.token, user: response.user });
-        setLoginSuccess(true);
-      } else {
-        setLocalError("Erreur lors de la finalisation de la connexion");
-      }
-    } catch {
-      setLocalError("Erreur de connexion au serveur");
+  const finalizeLogin = (result) => {
+    if (result.success && result.user) {
+      const token = localStorage.getItem("native_auth_token") || localStorage.getItem("auth_token") || "";
+      setLoginData({ token, user: result.user });
+      setLoginSuccess(true);
     }
   };
   const handleEmailCheck = async () => {
@@ -2569,7 +2563,7 @@ function LoginModal({
       return;
     }
     const result = await submitPassword(password);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleEmailOtpVerify = async () => {
     setLocalError(null);
@@ -2579,7 +2573,7 @@ function LoginModal({
       return;
     }
     const result = await submitOtp(emailOtpCode);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handlePhoneInit = async () => {
     setLocalError(null);
@@ -2599,7 +2593,7 @@ function LoginModal({
       return;
     }
     const result = await submitOtp(phoneOtpCode);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleAccessOtpSubmit = async () => {
     setLocalError(null);
@@ -2609,17 +2603,13 @@ function LoginModal({
       return;
     }
     const result = await loginWithAccessOtp(accessOtpCode);
-    if (result.success) {
-      if (result.callback_token) {
-        await exchangeCallbackToken(result.callback_token);
-      }
-    }
+    finalizeLogin(result);
   };
   const handleGrantAccess = async () => {
     setLocalError(null);
     clearError();
     const result = await grantAccess();
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleResendOTP = async () => {
     if (resendCooldown > 0) return;