@ollaid/native-sso 2.1.3 → 2.1.5

package/README.md

@@ -638,7 +638,7 @@ Retourne un **token opaque chiffré** (`encrypted_credentials`) contenant les cr
 ```
 
 **Principe :**  
-Le SaaS chiffre `app_key + secret_key + timestamp` en AES-256-CBC en utilisant la `secret_key` elle-même comme clé de chiffrement (SHA-256 → 32 bytes).  
+Le SaaS chiffre `secret_key + timestamp` en AES-256-CBC avec `OPENSSL_RAW_DATA`, en utilisant la `secret_key` elle-même comme clé de chiffrement (SHA-256 → 32 bytes).  
 Le frontend transporte le blob opaque + l'`app_key` en clair (non sensible) vers l'IAM.  
 L'IAM retrouve la `secret_key` via l'`app_key` dans sa table `applications`, puis déchiffre le blob.
 
@@ -648,24 +648,26 @@ L'IAM retrouve la `secret_key` via l'`app_key` dans sa table `applications`, pui
 Route::get('/native/config', function () {
     $appKey = config('services.iam.app_key');
     $secretKey = config('services.iam.secret_key');
+    $iamApiUrl = config('services.iam.api_url');
     
     // Clé AES = SHA-256 de la secret_key (32 bytes binaires)
-    $aesKey = hash('sha256', $secretKey, true);
+    $encryptionKey = hash('sha256', $secretKey, true);
     $iv = random_bytes(16);
     
     $payload = json_encode([
-        'app_key'    => $appKey,
         'secret_key' => $secretKey,
         'ts'         => time(),
     ]);
     
-    $encrypted = openssl_encrypt($payload, 'aes-256-cbc', $aesKey, 0, $iv);
+    $encrypted = openssl_encrypt($payload, 'AES-256-CBC', $encryptionKey, OPENSSL_RAW_DATA, $iv);
     
     return response()->json([
-        'success' => true,
-        'app_key' => $appKey,  // En clair (non sensible, sert d'identifiant)
-        'encrypted_credentials' => base64_encode($iv . '::' . $encrypted),
-        'debug' => (bool) config('services.iam.debug'),
+        'success'               => true,
+        'app_key'               => $appKey,  // En clair (non sensible, sert d'identifiant)
+        'encrypted_credentials' => base64_encode($iv . '::' . base64_encode($encrypted)),
+        'iam_api_url'           => $iamApiUrl,
+        'credentials_ttl'       => 300,
+        'debug'                 => (bool) config('services.iam.debug'),
     ]);
 });
 ```
@@ -680,12 +682,12 @@ if (!$app) {
 }
 
 // 2. Déchiffrer avec la secret_key de l'application
-$aesKey = hash('sha256', $app->secret_key, true); // secret_key = colonne DB
+$encryptionKey = hash('sha256', $app->secret_key, true);
 $decoded = base64_decode($request->encrypted_credentials);
-[$iv, $ciphertext] = explode('::', $decoded, 2);
+[$iv, $ciphertextB64] = explode('::', $decoded, 2);
 
 $payload = json_decode(
-    openssl_decrypt($ciphertext, 'aes-256-cbc', $aesKey, 0, $iv),
+    openssl_decrypt(base64_decode($ciphertextB64), 'AES-256-CBC', $encryptionKey, OPENSSL_RAW_DATA, $iv),
     true
 );
 
@@ -694,7 +696,6 @@ if (!$payload || time() - $payload['ts'] > 300) {
     return response()->json(['success' => false, 'message' => 'Credentials expirés ou invalides'], 401);
 }
 
-$appKey = $payload['app_key'];
 $secretKey = $payload['secret_key'];
 // ... valider et continuer le flux
 ```
@@ -721,8 +722,8 @@ $secretKey = $payload['secret_key'];
 
 **Logique backend :**
 1. Recevoir le `callback_token`
-2. Appeler l'IAM `POST /api/iam/auth/decrypt` avec `app_key`, `secret_key` et le `callback_token` (remplacer les espaces par `+`)
-3. L'IAM retourne les `user_infos` (9 champs standardisés)
+2. Appeler l'IAM `POST /iam/auth/decrypt` avec les credentials dans les headers (`X-IAM-App-Key`, `X-IAM-Secret-Key`) et le token dans le body
+3. L'IAM retourne les `user_infos` (9 champs standardisés) + `app_access_token_ref`
 4. Créer ou mettre à jour l'utilisateur local
 5. Générer un token Sanctum
 6. Retourner le token + user
@@ -753,16 +754,14 @@ $secretKey = $payload['secret_key'];
 ```php
 // routes/api.php
 Route::post('/native/exchange', function (Request $request) {
-    $callbackToken = $request->input('callback_token');
-    
-    // ⚠️ IMPORTANT : Remplacer les espaces par '+' avant décryptage
-    $callbackToken = str_replace(' ', '+', $callbackToken);
+    $iamApiUrl = config('services.iam.api_url');
     
-    // Appel IAM pour décrypter
-    $response = Http::post(config('services.iam.base_url') . '/iam/auth/decrypt', [
-        'app_key'        => config('services.iam.app_key'),
-        'secret_key'     => config('services.iam.secret_key'),
-        'callback_token' => $callbackToken,
+    // Appel IAM pour décrypter — credentials dans les HEADERS
+    $response = Http::withHeaders([
+        'X-IAM-App-Key'    => config('services.iam.app_key'),
+        'X-IAM-Secret-Key' => config('services.iam.secret_key'),
+    ])->post("{$iamApiUrl}/iam/auth/decrypt", [
+        'token' => $request->callback_token,
     ]);
     
     if (!$response->successful() || !$response->json('success')) {
@@ -773,7 +772,9 @@ Route::post('/native/exchange', function (Request $request) {
         ], 401);
     }
     
-    $userInfos = $response->json('user_infos');
+    $data = $response->json();
+    $userInfos = $data['user_infos'];
+    $appAccessTokenRef = $data['app_access_token_ref'] ?? null;
     
     // Créer ou mettre à jour l'utilisateur local
     $user = User::updateOrCreate(
@@ -786,16 +787,13 @@ Route::post('/native/exchange', function (Request $request) {
             'image'           => $userInfos['image_url'] ?? null,
             'alias_reference' => $userInfos['alias_reference'],
             'user_infos'      => json_encode($userInfos),
-            'password'        => bcrypt(Str::random(32)), // Mot de passe aléatoire
+            'password'        => bcrypt(Str::random(32)),
         ]
     );
     
     // Générer un token Sanctum
     $token = $user->createToken('native-sso')->plainTextToken;
     
-    // Récupérer app_access_token_ref depuis la réponse IAM
-    $appAccessTokenRef = $response->json('user_infos.app_access_token_ref');
-    
     return response()->json([
         'success'              => true,
         'token'                => $token,
@@ -1290,7 +1288,7 @@ Ajoutez ces variables dans le fichier `.env` du backend SaaS :
 # Credentials IAM (récupérés depuis le dashboard iam.ollaid.com)
 IAM_APP_KEY=oiam_ak_xxxxxxxxxxxxxxxxxxxxxxxx
 IAM_SECRET_KEY=oiam_sk_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-IAM_BASE_URL=https://identityam.ollaid.com/api
+IAM_API_URL=https://identityam.ollaid.com/api
 
 # Mode debug — contrôle le DebugPanel et les logs côté frontend
 # true  : active le DebugPanel + logs console + détails d'erreur dans les réponses JSON
@@ -1307,7 +1305,7 @@ Et dans `config/services.php` :
 'iam' => [
     'app_key'    => env('IAM_APP_KEY'),
     'secret_key' => env('IAM_SECRET_KEY'),
-    'base_url'   => env('IAM_BASE_URL', 'https://identityam.ollaid.com/api'),
+    'api_url'    => env('IAM_API_URL', 'https://identityam.ollaid.com/api'),
     'debug'      => env('IAM_DEBUG', false),  // Active le debug côté frontend (false si absent)
 ],
 ```

package/dist/components/DebugPanel.d.ts

@@ -2,7 +2,7 @@
  * DebugPanel — Panneau de debug flottant pour @ollaid/native-sso
  * Affiche l'historique des appels API en temps réel (style terminal)
  * N'apparaît que quand debug=true
- * @version 1.0.0
+ * @version 2.1.4
  */
 interface DebugPanelProps {
     saasApiUrl: string;

package/dist/components/LoginModal.d.ts

@@ -2,7 +2,7 @@
  * Login Modal for @ollaid/native-sso
  * Complete login flow aligned with web SSO /sso/auth design
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface LoginModalProps {

package/dist/components/NativeSSOPage.d.ts

@@ -2,7 +2,7 @@
  * NativeSSOPage — Page autonome complète pour @ollaid/native-sso
  * Design aligné sur /sso/auth (fond primary, card blanche, ShieldCheck branding)
  *
- * @version 2.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface NativeSSOPageProps {

package/dist/components/OnboardingModal.d.ts

@@ -2,7 +2,7 @@
  * OnboardingModal — Post-login modal for missing profile info
  * Asks for photo + phone if not present in user_infos
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { NativeUser } from '../types/native';
 export interface OnboardingModalProps {

package/dist/components/PasswordRecoveryModal.d.ts

@@ -3,7 +3,7 @@
  * Flow: email → method-choice → OTP → new password → success
  * Design aligned with web SSO
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface PasswordRecoveryModalProps {
     open: boolean;

package/dist/components/SignupModal.d.ts

@@ -2,7 +2,7 @@
  * Signup Modal for @ollaid/native-sso — Design aligned with web SSO
  * Full signup flow: intro → account-type → info → OTP → password → confirm → success
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface SignupModalProps {

package/dist/components/ui.d.ts

@@ -3,7 +3,7 @@
  * Lightweight replacements for shadcn/ui components + inline SVG icons
  * No external dependencies required
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import React from 'react';
 export declare function IconShieldCheck(props: React.SVGProps<SVGSVGElement>): import("react/jsx-runtime").JSX.Element;

package/dist/hooks/useLogout.d.ts

@@ -22,7 +22,7 @@
  * };
  * ```
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface UseLogoutOptions {
     /** Callback appelé après une déconnexion réussie (redirection, toast, etc.) */

package/dist/hooks/useMobilePassword.d.ts

@@ -2,7 +2,7 @@
  * Hook de récupération de mot de passe v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 export interface UseMobilePasswordOptions {
     saasApiUrl: string;

package/dist/hooks/useMobileRegistration.d.ts

@@ -2,7 +2,7 @@
  * Hook d'inscription Mobile SSO v1.0
  * Gère le flow: init → verify-otp → complete
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { MobileRegistrationFormData, AccountType } from '../types/mobile';
 interface RegistrationConflict {

package/dist/hooks/useNativeAuth.d.ts

@@ -2,7 +2,7 @@
  * Hook d'authentification Native SSO v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 1.0.0
+ * @version 2.1.4
  */
 import type { NativeAuthStatus, NativeExchangeResponse, AccountType } from '../types/native';
 export interface UseNativeAuthOptions {

package/dist/hooks/useTokenHealthCheck.d.ts

@@ -10,7 +10,7 @@
  * - Si 401 → révoque l'IAM (POST /iam/disconnect) + nettoie le frontend
  * - Ne déconnecte PAS si offline ou serveur inaccessible
  *
- * @version 2.0.0
+ * @version 2.1.4
  */
 import type { UserInfos } from '../types/native';
 export interface UseTokenHealthCheckOptions {

package/dist/index.cjs

@@ -2529,17 +2529,11 @@ function LoginModal({
       setPhone(initialPhone);
     }
   }, [open, initialPhone]);
-  const exchangeCallbackToken = async (callbackToken) => {
-    try {
-      const response = await nativeAuthService.exchange(callbackToken);
-      if (response.success && response.token) {
-        setLoginData({ token: response.token, user: response.user });
-        setLoginSuccess(true);
-      } else {
-        setLocalError("Erreur lors de la finalisation de la connexion");
-      }
-    } catch {
-      setLocalError("Erreur de connexion au serveur");
+  const finalizeLogin = (result) => {
+    if (result.success && result.user) {
+      const token = localStorage.getItem("native_auth_token") || localStorage.getItem("auth_token") || "";
+      setLoginData({ token, user: result.user });
+      setLoginSuccess(true);
     }
   };
   const handleEmailCheck = async () => {
@@ -2569,7 +2563,7 @@ function LoginModal({
       return;
     }
     const result = await submitPassword(password);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleEmailOtpVerify = async () => {
     setLocalError(null);
@@ -2579,7 +2573,7 @@ function LoginModal({
       return;
     }
     const result = await submitOtp(emailOtpCode);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handlePhoneInit = async () => {
     setLocalError(null);
@@ -2599,7 +2593,7 @@ function LoginModal({
       return;
     }
     const result = await submitOtp(phoneOtpCode);
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleAccessOtpSubmit = async () => {
     setLocalError(null);
@@ -2609,17 +2603,13 @@ function LoginModal({
       return;
     }
     const result = await loginWithAccessOtp(accessOtpCode);
-    if (result.success) {
-      if (result.callback_token) {
-        await exchangeCallbackToken(result.callback_token);
-      }
-    }
+    finalizeLogin(result);
   };
   const handleGrantAccess = async () => {
     setLocalError(null);
     clearError();
     const result = await grantAccess();
-    if (result.success && result.callback_token) await exchangeCallbackToken(result.callback_token);
+    finalizeLogin(result);
   };
   const handleResendOTP = async () => {
     if (resendCooldown > 0) return;