@ollaid/native-sso 2.1.5 → 2.5.0

package/README.md

@@ -28,6 +28,7 @@ Package NPM Frontend-First pour l'authentification Native SSO Ollaid.
  19. [Sécurité](#sécurité)
  20. [Exports](#exports)
  21. [Publication & Installation npm](#publication--installation-npm)
+ 22. [Webhooks & Health Check (Backend)](#webhooks--health-check-backend)
 
 ---
 
@@ -59,7 +60,7 @@ function App() {
   return (
     <Routes>
       <Route
-        path="/auth/sso"
+        path="/auth/native-sso"
         element={
           <NativeSSOPage
             saasApiUrl="https://mon-saas.com/api"
@@ -69,7 +70,7 @@ function App() {
               console.log('Connecté !', user.name);
               navigate('/dashboard');
             }}
-            onLogout={() => navigate('/auth/sso')}
+            onLogout={() => navigate('/auth/native-sso')}
           />
         }
       />
@@ -81,7 +82,7 @@ function App() {
 
 ### 3. C'est tout ✅
 
-La page `/auth/sso` gère automatiquement :
+La page `/auth/native-sso` gère automatiquement :
 - ✅ Connexion par email (mot de passe + OTP)
 - ✅ Connexion par téléphone (SMS OTP)
 - ✅ Connexion par code d'accès
@@ -104,15 +105,16 @@ La page `/auth/sso` gère automatiquement :
 | `configPrefix` | `string` | ❌ | **Multi-tenant** : préfixe de configuration IAM côté backend (défaut: `'iam'`). Permet à un même backend SaaS de gérer N applications IAM. Voir [Multi-Tenant](#multi-tenant-plusieurs-applications-sur-le-même-backend). |
 | `onLoginSuccess` | `(token: string, user: UserInfos) => void` | ❌ | Callback après connexion réussie |
 | `onLogout` | `() => void` | ❌ | Callback après déconnexion |
-| `title` | `string` | ❌ | Titre personnalisé (défaut: "Un compte, plusieurs accès") |
+| `title` | `string` | ❌ | Titre personnalisé (défaut: "Un compte pour toutes vos applications") |
 | `description` | `string` | ❌ | Description personnalisée |
 | `logoUrl` | `string` | ❌ | URL du logo (remplace le slider) |
 | `hideFooter` | `boolean` | ❌ | Masquer "Propulsé par iam.ollaid.com" |
-| `onOnboardingComplete` | `(data: { image_url?: string; ccphone?: string; phone?: string }) => void` | ❌ | Callback après complétion de l'onboarding |
+| `onOnboardingComplete` | `(data: { name?: string; image_url?: string; ccphone?: string; phone?: string; email?: string }) => void` | ❌ | Callback après complétion de l'onboarding |
 | `redirectAfterLogin` | `string` | ❌ | Route vers laquelle rediriger après connexion réussie (ex: `/client/dashboard`). Utilise `window.location.href`. Compatible avec ou sans react-router. |
 | `redirectAfterLogout` | `string` | ❌ | Route vers laquelle rediriger après déconnexion (ex: `/auth/client`). Utilise `window.location.href`. |
 
 > **Note :** Le mode `debug` est contrôlé **uniquement** par le backend via la variable d'environnement `IAM_DEBUG` dans le `.env` du SaaS. Il n'y a plus de prop `debug` à passer au composant. Le `DebugPanel` est **réactif** : il apparaît automatiquement après le chargement des credentials si `debug: true` est retourné par le backend.
+> Quand le `DebugPanel` est visible, il expose aussi des boutons de test pour ouvrir `Connexion`, `Inscription`, `Infos profile` et un reset du rappel profil.
 
 ### Redirections automatiques (optionnel)
 
@@ -175,7 +177,7 @@ const handleLogout = async () => {
 
 1. **Révoque le token SaaS** — `POST /api/native/logout` (supprime le Sanctum token)
 2. **Révoque la session IAM** — `POST /api/iam/disconnect` (avec `sanctum_token` + `app_access_token_ref`)
-3. **Nettoie le localStorage** — supprime les 6 clés du package
+3. **Nettoie le localStorage** — supprime les clés de session du package
 
 Les appels réseau sont en `Promise.allSettled` (best-effort) : même si le serveur est injoignable, le localStorage est **toujours** nettoyé.
 
@@ -189,6 +191,9 @@ Les appels réseau sont en `Promise.allSettled` (best-effort) : même si le serv
 | `account_type` | Type de compte (`user` ou `client`) |
 | `alias_reference` | Référence de l'alias de connexion |
 | `app_access_token_ref` | Référence de l'`AppAccessToken` IAM (pour revocation optimisée) |
+| `refresh_token` | Refresh token SaaS (si activé) |
+| `token_expires_at` | Expiration du token Sanctum (si fournie) |
+| `refresh_expires_at` | Expiration du refresh token (si fournie) |
 
 ### ⛔ `clearAuthToken()` est déprécié
 
@@ -235,7 +240,7 @@ Backend SaaS:
   configPrefix="iam"
   accountType="user"
   redirectAfterLogin="/dashboard"
-  redirectAfterLogout="/auth/sso"
+  redirectAfterLogout="/auth/native-sso"
 />
 
 {/* Page login espace vendeur */}
@@ -329,7 +334,7 @@ return [
 
 ### Côté Backend SaaS — Controller multi-tenant
 
-Tous les controllers Native (`config`, `exchange`, `check-token`, `logout`) doivent lire le header :
+Tous les controllers Native (`config`, `exchange`, `check-token`, `refresh`, `logout`) doivent lire le header :
 
 ```php
 class NativeConfigController extends Controller
@@ -374,7 +379,11 @@ class NativeConfigController extends Controller
 }
 ```
 
-> **⚠️ Important** : Appliquez la même logique `X-IAM-Config-Prefix` dans `exchange`, `check-token` et `logout`.
+> **⚠️ Important** : Appliquez la même logique `X-IAM-Config-Prefix` dans `exchange`, `check-token`, `refresh` et `logout`.
+
+Le package envoie aussi :
+- `X-Device-Id` (stable par appareil / webview)
+- `X-Session-UUID` (UUID stable par instance, pour différencier plusieurs sessions sur un même device)
 
 ---
 
@@ -618,7 +627,8 @@ import { useMobileRegistration } from '@ollaid/native-sso';
 
 ## Backend SaaS — Endpoints requis
 
-Le backend SaaS (Laravel) doit exposer **4 endpoints**. Voici les spécifications exactes :
+Le backend SaaS (Laravel) doit exposer **5 endpoints** : `config`, `exchange`, `check-token`, `refresh`, `logout`.
+Voici les spécifications exactes :
 
 ### `GET /api/native/config`
 
@@ -826,6 +836,7 @@ Vérifie la validité du token Sanctum et retourne les infos utilisateur fraîch
 **Réponse succès (200) :**
 ```json
 {
+  "success": true,
   "status": "connected",
   "user": {
     "name": "John Doe",
@@ -849,6 +860,7 @@ Route::post('/native/check-token', function (Request $request) {
     $user = $request->user();
     
     return response()->json([
+        'success' => true,
         'status' => 'connected',
         'user'   => [
             'name'      => $user->name,
@@ -864,7 +876,46 @@ Route::post('/native/check-token', function (Request $request) {
 })->middleware('auth:sanctum');
 ```
 
-> **Comportement réseau :** Le package ne déconnecte l'utilisateur que si le backend retourne explicitement **401**. En cas d'erreur réseau, timeout ou serveur inaccessible, la session est conservée.
+> **Règle de déconnexion :** Le package ne déconnecte l'utilisateur **que** sur un **HTTP 401 explicite**. Tout HTTP 200 (quelle que soit la structure du body) confirme la session. Erreur réseau, timeout, 5xx, offline → session conservée, jamais de déconnexion inutile.
+
+---
+
+### `POST /api/native/refresh` (OBLIGATOIRE pour la stabilité)
+
+Renouvelle la session **sans déconnecter**. Le package l'utilise :
+- en **proactif** (avant expiration, si `expires_at` est fourni)
+- en **récupération** quand `check-token` retourne `401` (tente un refresh avant logout)
+
+**Body :**
+```json
+{ "refresh_token": "rt_..." }
+```
+
+**Recommandation (stabilité maximale) :** ne pas changer le token Sanctum.  
+Le refresh doit **prolonger `expires_at`** du token existant (le client garde son token actuel).
+
+**Réponse succès (200) :**
+```json
+{
+  "success": true,
+  "expires_at": "2026-06-13T12:00:00+00:00",
+  "refresh_token": "rt_new_...",
+  "refresh_expires_at": "2026-08-13T12:00:00+00:00",
+  "user": { "name": "John Doe" }
+}
+```
+
+**Réponse refresh invalide (401) :**
+```json
+{
+  "success": false,
+  "error_type": "invalid_refresh",
+  "message": "Refresh token invalide ou expiré"
+}
+```
+
+> Si le refresh est invalide (`401 invalid_refresh`) : c'est une révocation explicite, la déconnexion est autorisée.
+> Si offline/timeout/5xx : ne jamais déconnecter.
 
 ---
 
@@ -900,7 +951,7 @@ Route::post('/native/logout', function (Request $request) {
 
 ## Controller Laravel Complet (copier-coller)
 
-Voici un `NativeAuthController.php` complet regroupant les 4 endpoints. Copiez-le dans `app/Http/Controllers/Api/NativeAuthController.php` :
+Voici un `NativeAuthController.php` complet regroupant les 5 endpoints. Copiez-le dans `app/Http/Controllers/Api/NativeAuthController.php` :
 
 ```php
 <?php
@@ -1122,6 +1173,7 @@ class NativeAuthController extends Controller
         $user = $request->user();
 
         return response()->json([
+            'success' => true,
             'status'  => 'connected',
             'message' => 'Utilisateur connecté',
             'user'    => [
@@ -1340,6 +1392,14 @@ public function up(): void
 
 > **Note :** Le champ `reference` est l'identifiant unique IAM de l'utilisateur. Le champ `alias_reference` identifie l'utilisateur dans le contexte d'une application spécifique.
 
+### Colonnes recommandées sur `personal_access_tokens` (Sanctum)
+
+Pour la révocation synchronisée et la stabilité de session :
+- `app_access_token_ref` (révocation IAM ciblée)
+- `refresh_token_hash` + `refresh_expires_at` (refresh token)
+
+Ces migrations sont détaillées dans `BACKEND_INTEGRATION.md` du package.
+
 ---
 
 ## Flux d'authentification
@@ -1384,7 +1444,7 @@ public function up(): void
 4. **Validate** — Le frontend envoie le mot de passe/OTP, l'IAM retourne un `callback_token`
 5. **Exchange** — Le frontend envoie le `callback_token` au backend SaaS, qui le décrypte via l'IAM et crée une session Sanctum
 
-> **Important :** Le package gère les étapes 1-5 automatiquement. Le backend SaaS doit implémenter **4 endpoints** (`config`, `exchange`, `check-token`, `logout`).
+> **Important :** Le package gère les étapes 1-5 automatiquement. Le backend SaaS doit implémenter **5 endpoints** (`config`, `exchange`, `check-token`, `refresh`, `logout`).
 
 ---
 
@@ -1894,7 +1954,7 @@ Toutes les APIs IAM retournent le même objet `user_infos` avec exactement **9 c
 
 ## Session & localStorage
 
-Le package utilise **6 clés** dans `localStorage` pour persister la session :
+Le package utilise **9 clés** dans `localStorage` pour persister la session et le suivi du profil :
 
 | Clé | Contenu | Source | Valeurs possibles |
 |-----|---------|--------|-------------------|
@@ -1904,8 +1964,12 @@ Le package utilise **6 clés** dans `localStorage` pour persister la session :
 | `account_type` | Type de compte | Déterminé lors du `exchange` selon le mode d'inscription | `"user"` (défaut) ou `"client"` (inscription phone-only) |
 | `alias_reference` | Référence alias utilisée lors de la connexion | Réponse de `/api/native/exchange` (champ `user.alias_reference`) | `"ALI-XXXXXXXX"` |
 | `app_access_token_ref` | Référence de l'`AppAccessToken` IAM | Réponse de `/api/native/exchange` (champ `app_access_token_ref`) | `"42"` ou `"aat_ref_abc123"` |
+| `sso_image_last_status` | Statut du dernier onboarding profil | Mis à jour par `OnboardingModal` | `"true"` ou `"false"` |
+| `sso_image_last_check` | Timestamp du dernier contrôle profil | Mis à jour par `OnboardingModal` / sync profil | Millisecondes Unix |
+| `sso_image_recheck_at` | Timestamp de rappel après snooze | Mis à jour quand l'utilisateur passe l'onboarding | Millisecondes Unix |
 
 > **Note :** `account_type` et `alias_reference` sont stockés **séparément** de l'objet `user` en plus d'être inclus dans le JSON de la clé `user`.
+> **Note :** `sso_image_last_status`, `sso_image_last_check` et `sso_image_recheck_at` vivent dans le `localStorage` du SaaS et servent au rappel d'onboarding du profil.
 
 #### Champs enrichis dans l'objet `user`
 
@@ -1915,7 +1979,8 @@ L'objet `user` stocké en localStorage contient deux champs ajoutés automatique
 
 ### Nettoyage
 
-Lors du `logout()`, les 6 clés sont supprimées via `clearAuthToken()`.
+Lors du `logout()`, les 6 clés de session sont supprimées via `clearAuthToken()`.  
+Les clés de rappel profil (`sso_image_*`) ne sont pas effacées, afin de conserver le comportement de relance après snooze.
 
 ### Accès programmatique
 
@@ -2052,7 +2117,7 @@ Le [health check](#usetokenhealthcheck) (toutes les 2 min) détecte automatiquem
 
 ---
 
-Modal post-connexion qui invite l'utilisateur à compléter les informations manquantes de son profil.
+Modal post-connexion qui invite l'utilisateur à compléter les informations manquantes de son profil, ou à éditer ses informations complètes depuis un SaaS.
 
 ### Props
 
@@ -2061,35 +2126,102 @@ Modal post-connexion qui invite l'utilisateur à compléter les informations man
 | `open` | `boolean` | ✅ | Contrôle l'ouverture de la modal |
 | `onOpenChange` | `(open: boolean) => void` | ✅ | Callback changement d'état |
 | `user` | `NativeUser` | ✅ | Objet utilisateur courant (pour détecter les champs manquants) |
+| `variant` | `'missing' \| 'edit'` | ❌ | `missing` affiche uniquement les champs absents, `edit` affiche les champs de base en mode édition complet |
 | `onComplete` | `(data) => void` | ✅ | Callback avec les données saisies |
 | `onSkip` | `() => void` | ✅ | Callback si l'utilisateur passe l'étape |
 
 ### Champs affichés
 
-La modal affiche **uniquement** les champs manquants :
-- **Photo de profil** — si `user.image_url` est vide (max 2 Mo, JPG/PNG)
-- **Numéro de téléphone** — si `user.phone` est vide
-- **Adresse email** — si `user.email` est vide (**optionnel**, ne bloque pas la validation)
+La modal gère **deux modes** :
+
+- **Mode `missing`** : affiche uniquement les champs manquants
+  - **Nom complet** — si `user.name` est vide
+  - **Photo de profil** — si `user.image_url` est vide (max 2 Mo, JPG/PNG)
+  - **Numéro de téléphone** — si `user.phone` est vide
+  - **Adresse email** — si `user.email` est vide
+- **Mode `edit`** : affiche les champs de base éditables même si le profil est déjà complet
+  - Nom complet
+  - Photo de profil
+  - Numéro de téléphone en lecture seule avec bouton `Changer téléphone`
+  - Adresse email en lecture seule avec bouton `Changer email`
 
 ### Callback `onComplete`
 
 ```ts
 onComplete: (data: {
+  name?: string;       // Nom complet (si fourni ou modifié)
   image_url?: string;   // Base64 de la photo (si ajoutée)
   ccphone?: string;     // Indicatif (si téléphone ajouté)
   phone?: string;       // Numéro (si téléphone ajouté)
-  email?: string;       // Email (si renseigné — optionnel)
+  email?: string;       // Email (si renseigné)
 }) => void;
 ```
 
 ### Condition de soumission
 
 L'utilisateur **doit** :
-1. Cocher la case de confirmation
-2. Fournir une photo (si manquante)
-3. Fournir un téléphone valide (si manquant)
+1. Fournir un nom si le nom est affiché
+2. Fournir une photo si elle est affichée
+3. Fournir un téléphone valide si le champ est affiché
+4. Fournir un email valide si le champ est affiché
+
+Après connexion, la page autonome attend 5 minutes avant d'ouvrir cette modal si le profil est incomplet.  
+Si l'utilisateur la ferme sans compléter, le package enregistre un snooze de 8 heures (`sso_image_last_status=false`, `sso_image_last_check=now`, `sso_image_recheck_at=now+8h`).  
+Un sync profil best-effort relit ensuite l'état utilisateur toutes les 30 minutes et remet `sso_image_last_status=true` dès que le profil est complet.
+
+### Mode automatique
+
+Le mode automatique est piloté par `NativeSSOPage` :
+- la modal s'ouvre après le délai de 5 minutes si des infos sont manquantes,
+- elle reste sur un écran de chargement tant que l'hydratation IAM n'a pas renvoyé le profil,
+- elle affiche ensuite uniquement les champs manquants,
+- si l'utilisateur ferme la modal, le rappel est repoussé de 8 heures.
 
-L'email est **toujours optionnel** — il n'est pas requis pour valider.
+### Mode manuel depuis un SaaS
+
+Quand vous ouvrez la modal depuis votre SaaS via un bouton "Infos profil" ou "Modifier mon profil", utilisez `variant="edit"`.
+
+Exemple :
+
+```tsx
+import { useState } from 'react';
+import { OnboardingModal } from '@ollaid/native-sso';
+
+export function ProfileButton({ user }: { user: NativeUser }) {
+  const [open, setOpen] = useState(false);
+
+  return (
+    <>
+      <button type="button" onClick={() => setOpen(true)}>
+        Infos profil
+      </button>
+
+      <OnboardingModal
+        open={open}
+        onOpenChange={setOpen}
+        onDismiss={() => setOpen(false)}
+        user={user}
+        variant="edit"
+        profileHydrating={false}
+        onComplete={(data) => {
+          // Mettre à jour votre cache local / localStorage avec data.user_infos
+          setOpen(false);
+        }}
+        onSkip={() => setOpen(false)}
+      />
+    </>
+  );
+}
+```
+
+Dans ce mode, le changement de téléphone/email ouvre un sous-flux OTP dans la même modal:
+1. saisie du nouveau téléphone/email,
+2. envoi du premier OTP sur le contact actuel,
+3. vérification du premier OTP,
+4. envoi d'un second OTP sur le nouveau contact,
+5. confirmation finale et mise à jour du profil.
+
+Les écrans de changement restent en `static backdrop` côté package: un clic hors modal ne ferme pas le flux.
 
 ### Exemple
 
@@ -2100,6 +2232,7 @@ import { OnboardingModal } from '@ollaid/native-sso';
   open={showOnboarding}
   onOpenChange={setShowOnboarding}
   user={currentUser}
+  variant="edit"
   onComplete={async (data) => {
     // Envoyer les données au backend pour mise à jour
     await api.updateProfile(data);
@@ -2248,6 +2381,9 @@ if (config('services.iam.debug')) {
 - `getAuthToken` — Récupérer le token depuis localStorage
 - `getAuthUser` — Récupérer l'utilisateur depuis localStorage
 - `getAccountType` — Récupérer le type de compte depuis localStorage
+- `getDeviceId` — Récupérer/générer le `X-Device-Id` (persisté)
+- `getSessionUuid` — Récupérer/générer le `X-Session-UUID` (persisté)
+- `STORAGE_KEYS` — Constantes des clés localStorage utilisées par le package
 
 ### Types
 - `UserInfos`, `NativeAuthState`, `NativeAuthStatus`, `NativeCredentials`, etc.
@@ -2352,3 +2488,16 @@ npm publish --access public  # 3. Publier sur npm
 ## Licence
 
 Propriétaire — Ollaid © 2026
+
+---
+
+## Webhooks & Health Check (Backend)
+
+Pour garantir la fiabilité et la synchronisation en temps réel (ex: révocation instantanée d'une session bannie), votre backend doit implémenter deux briques supplémentaires.
+
+Consultez le guide détaillé : [**WEBHOOKS_HEALTH.md**](./WEBHOOKS_HEALTH.md)
+
+| Brique | Rôle |
+|--------|------|
+| **Health Check** | Permet à l'IAM de vérifier que votre SaaS est "Healthy" et bien configuré. |
+| **Webhooks** | Permet à l'IAM de notifier votre SaaS d'événements critiques (suspension, révocation). |

package/dist/components/AvatarCropModal.d.ts

@@ -0,0 +1,16 @@
+/**
+ * AvatarCropModal — recadrage carré simple et déterministe
+ *
+ * Version réécrite from scratch pour éviter les états qui bloquent le bouton Valider.
+ *
+ * @version 2.5.0
+ */
+export interface AvatarCropModalProps {
+    open: boolean;
+    imageSrc: string | null;
+    onOpenChange: (open: boolean) => void;
+    onCancel: () => void;
+    onConfirm: (blob: Blob) => Promise<void> | void;
+}
+export declare function AvatarCropModal({ open, imageSrc, onOpenChange, onCancel, onConfirm }: AvatarCropModalProps): import("react/jsx-runtime").JSX.Element;
+export default AvatarCropModal;

package/dist/components/DebugPanel.d.ts

@@ -2,11 +2,16 @@
  * DebugPanel — Panneau de debug flottant pour @ollaid/native-sso
  * Affiche l'historique des appels API en temps réel (style terminal)
  * N'apparaît que quand debug=true
- * @version 2.1.4
+ * @version 2.5.0
  */
+export type DebugOnboardingPreset = 'current' | 'photo' | 'phone' | 'email' | 'all';
 interface DebugPanelProps {
     saasApiUrl: string;
     iamApiUrl: string;
+    onOpenLogin?: () => void;
+    onOpenSignup?: () => void;
+    onOpenOnboarding?: (preset: DebugOnboardingPreset) => void;
+    onResetProfilePrompt?: () => void;
 }
-export declare function DebugPanel({ saasApiUrl, iamApiUrl }: DebugPanelProps): import("react/jsx-runtime").JSX.Element;
+export declare function DebugPanel({ saasApiUrl, iamApiUrl, onOpenLogin, onOpenSignup, onOpenOnboarding, onResetProfilePrompt }: DebugPanelProps): import("react/jsx-runtime").JSX.Element;
 export default DebugPanel;

package/dist/components/LoginModal.d.ts

@@ -1,8 +1,8 @@
 /**
  * Login Modal for @ollaid/native-sso
- * Complete login flow aligned with web SSO /sso/auth design
+ * Complete login flow aligned with Native SSO design
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { UserInfos } from '../types/native';
 export interface LoginModalProps {

package/dist/components/NativeSSOPage.d.ts

@@ -1,8 +1,8 @@
 /**
  * NativeSSOPage — Page autonome complète pour @ollaid/native-sso
- * Design aligné sur /sso/auth (fond primary, card blanche, ShieldCheck branding)
+ * Design aligné sur le parcours Native SSO (fond primary, card blanche, ShieldCheck branding)
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { UserInfos } from '../types/native';
 export interface NativeSSOPageProps {
@@ -11,9 +11,15 @@ export interface NativeSSOPageProps {
     onLoginSuccess?: (token: string, user: UserInfos) => void;
     onLogout?: () => void;
     onOnboardingComplete?: (data: {
+        name?: string;
         image_url?: string;
         ccphone?: string;
         phone?: string;
+        email?: string;
+        address?: string;
+        town?: string;
+        country?: string;
+        user_infos?: UserInfos;
     }) => void;
     accountType?: 'user' | 'client';
     configPrefix?: string;

package/dist/components/OnboardingModal.d.ts

@@ -1,23 +1,30 @@
 /**
- * OnboardingModal — Post-login modal for missing profile info
- * Asks for photo + phone if not present in user_infos
+ * OnboardingModal — Modal de profil unifiée
+ * Mode `missing` : champs absents uniquement
+ * Mode `edit` : édition complète du profil depuis le SaaS
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
-import type { NativeUser } from '../types/native';
+import type { NativeUser, UserInfos } from '../types/native';
 export interface OnboardingModalProps {
     open: boolean;
     onOpenChange: (open: boolean) => void;
+    onDismiss: () => void;
     user: NativeUser;
-    /** Called with updated data when user submits */
+    variant?: 'missing' | 'edit';
+    profileHydrating?: boolean;
     onComplete: (data: {
+        name?: string;
         image_url?: string;
         ccphone?: string;
         phone?: string;
         email?: string;
+        address?: string;
+        town?: string;
+        country?: string;
+        user_infos?: UserInfos;
     }) => void;
-    /** Called when user skips onboarding */
     onSkip: () => void;
 }
-export declare function OnboardingModal({ open, onOpenChange, user, onComplete, onSkip }: OnboardingModalProps): import("react/jsx-runtime").JSX.Element;
+export declare function OnboardingModal({ open, onOpenChange, onDismiss, user, variant, profileHydrating, onComplete, onSkip }: OnboardingModalProps): import("react/jsx-runtime").JSX.Element;
 export default OnboardingModal;

package/dist/components/PasswordRecoveryModal.d.ts

@@ -3,7 +3,7 @@
  * Flow: email → method-choice → OTP → new password → success
  * Design aligned with web SSO
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 export interface PasswordRecoveryModalProps {
     open: boolean;

package/dist/components/PhoneInput.d.ts

@@ -8,9 +8,10 @@ interface PhoneInputProps {
     ccphone?: string;
     onCcphoneChange?: (value: string) => void;
     disabled?: boolean;
+    readOnly?: boolean;
     error?: string;
     placeholder?: string;
     lockCcphone?: boolean;
 }
-export declare function PhoneInput({ value, onChange, ccphone, onCcphoneChange, disabled, error, placeholder, lockCcphone, }: PhoneInputProps): import("react/jsx-runtime").JSX.Element;
+export declare function PhoneInput({ value, onChange, ccphone, onCcphoneChange, disabled, readOnly, error, placeholder, lockCcphone, }: PhoneInputProps): import("react/jsx-runtime").JSX.Element;
 export default PhoneInput;

package/dist/components/SignupModal.d.ts

@@ -2,7 +2,7 @@
  * Signup Modal for @ollaid/native-sso — Design aligned with web SSO
  * Full signup flow: intro → account-type → info → OTP → password → confirm → success
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { UserInfos } from '../types/native';
 export interface SignupModalProps {

package/dist/components/ui.d.ts

@@ -3,7 +3,7 @@
  * Lightweight replacements for shadcn/ui components + inline SVG icons
  * No external dependencies required
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import React from 'react';
 export declare function IconShieldCheck(props: React.SVGProps<SVGSVGElement>): import("react/jsx-runtime").JSX.Element;
@@ -30,9 +30,11 @@ export declare function Dialog({ open, onOpenChange, children }: {
     onOpenChange: (open: boolean) => void;
     children: React.ReactNode;
 }): import("react/jsx-runtime").JSX.Element | null;
-export declare function DialogContent({ children, className }: {
+export declare function DialogContent({ children, className, style, hideCloseButton }: {
     children: React.ReactNode;
     className?: string;
+    style?: React.CSSProperties;
+    hideCloseButton?: boolean;
 }): import("react/jsx-runtime").JSX.Element;
 export declare function DialogBody({ children, className, style }: {
     children: React.ReactNode;

package/dist/hooks/useLogout.d.ts

@@ -22,7 +22,7 @@
  * };
  * ```
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 export interface UseLogoutOptions {
     /** Callback appelé après une déconnexion réussie (redirection, toast, etc.) */

package/dist/hooks/useMobilePassword.d.ts

@@ -2,7 +2,7 @@
  * Hook de récupération de mot de passe v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 export interface UseMobilePasswordOptions {
     saasApiUrl: string;

package/dist/hooks/useMobileRegistration.d.ts

@@ -2,7 +2,7 @@
  * Hook d'inscription Mobile SSO v1.0
  * Gère le flow: init → verify-otp → complete
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { MobileRegistrationFormData, AccountType } from '../types/mobile';
 interface RegistrationConflict {

package/dist/hooks/useNativeAuth.d.ts

@@ -2,7 +2,7 @@
  * Hook d'authentification Native SSO v1.0
  * Architecture Frontend-First avec appels directs à l'IAM
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { NativeAuthStatus, NativeExchangeResponse, AccountType } from '../types/native';
 export interface UseNativeAuthOptions {

package/dist/hooks/useTokenHealthCheck.d.ts

@@ -10,7 +10,7 @@
  * - Si 401 → révoque l'IAM (POST /iam/disconnect) + nettoie le frontend
  * - Ne déconnecte PAS si offline ou serveur inaccessible
  *
- * @version 2.1.4
+ * @version 2.5.0
  */
 import type { UserInfos } from '../types/native';
 export interface UseTokenHealthCheckOptions {
@@ -22,6 +22,16 @@ export interface UseTokenHealthCheckOptions {
     iamApiUrl: string;
     /** Called when the backend explicitly invalidates the token (401) */
     onTokenInvalid: () => void;
+    /**
+     * Optional handler for 401. If provided, it can attempt a refresh and decide
+     * whether the session was recovered.
+     *
+     * Return values:
+     * - 'recovered': session is valid again (do NOT call onTokenInvalid)
+     * - 'invalid': token is explicitly invalid (call onTokenInvalid)
+     * - 'noop': fall back to default behavior
+     */
+    onUnauthorized?: () => Promise<'recovered' | 'invalid' | 'noop'>;
     /** Called when fresh user_infos are received */
     onUserUpdated?: (userInfos: UserInfos) => void;
     /** Debug mode */