forge-mvc-mfa 1.0.0b8__tar.gz

forge_mvc_mfa-1.0.0b8/PKG-INFO

@@ -0,0 +1,106 @@
+Metadata-Version: 2.4
+Name: forge-mvc-mfa
+Version: 1.0.0b8
+Summary: Brique MFA pour Forge — TOTP et codes de récupération.
+Author: Roger Cauchon
+License-Expression: LicenseRef-Forge-Proprietary
+Project-URL: Homepage, https://github.com/caucrogeGit/Forge
+Project-URL: Repository, https://github.com/caucrogeGit/Forge
+Project-URL: Documentation, https://caucrogegit.github.io/Forge/
+Keywords: python,mvc,forge,mfa,totp
+Classifier: Development Status :: 3 - Alpha
+Classifier: Programming Language :: Python :: 3
+Classifier: Programming Language :: Python :: 3.12
+Classifier: Programming Language :: Python :: 3.13
+Classifier: Programming Language :: Python :: 3.14
+Requires-Python: >=3.12
+Description-Content-Type: text/markdown
+Requires-Dist: forge-mvc==1.0.0b8
+Requires-Dist: pyotp<3,>=2.9
+Requires-Dist: cryptography<46,>=42
+
+# forge-mvc-mfa
+
+Brique MFA (TOTP + codes de récupération) pour le framework Forge.
+
+## Statut : Alpha — préparé pour publication future (MFA-PYPI-READY-001)
+
+`forge-mvc-mfa` est marqué `Development Status :: 3 - Alpha`.
+
+Depuis `SEC-MFA-SECRET-ENCRYPTION-001`, **le secret TOTP est chiffré au repos**
+via Fernet (`cryptography`). La clé est lue depuis `FORGE_MFA_SECRET_KEY` —
+obligatoire au démarrage.
+
+Le module **n'est pas publié sur PyPI dans la vague `1.0.0b7`**.
+Non inclus dans `forge-mvc[all]`. Publication prévue lors d'une release dédiée
+après ticket `MFA-PYPI-READY-001`.
+
+**Mode d'installation (Forge 3.0.x)** : `forge-mvc-mfa` n'est pas encore publié
+sur PyPI. Installation depuis les sources (mode dev) :
+
+```bash
+git clone https://github.com/caucrogeGit/Forge.git
+cd Forge
+pip install -e .
+pip install -r requirements-dev.txt
+```
+
+### Configuration requise
+
+```bash
+# Générer une clé Fernet (à stocker dans .env ou un gestionnaire de secrets)
+python -c "from cryptography.fernet import Fernet; print(Fernet.generate_key().decode())"
+```
+
+Ajouter dans `.env` :
+
+```
+FORGE_MFA_SECRET_KEY=<clé générée ci-dessus>
+```
+
+## Installation (mode source)
+
+```bash
+# Depuis le dépôt Forge (mode développement)
+pip install -r requirements-dev.txt  # installe forge-mvc-mfa depuis packages/
+```
+
+`forge-mvc-mfa` dépend de `pyotp>=2.9`.
+
+## Utilisation
+
+```python
+from forge_mvc_mfa import (
+    AuthMfaFactor,
+    create_totp_factor,
+    confirm_totp_factor,
+    verify_mfa_challenge,
+    is_mfa_enabled,
+)
+```
+
+L'API complète est exposée directement depuis `forge_mvc_mfa`.
+Les fonctions privées (`_persist_session_changes`, `_session_user_matches`)
+doivent être importées depuis `forge_mvc_mfa.mfa`.
+
+## SQL
+
+Les tables nécessaires se trouvent dans `sql/` :
+
+- `sql/auth_mfa_factors.sql` — facteurs TOTP
+- `sql/auth_mfa_recovery_codes.sql` — codes de récupération
+
+Appliquer via `db:apply` ou directement sur la base.
+
+## Compatibilité
+
+Disponible séparément depuis Forge 2.4.0 (ADR-004, MFA-EXTRACT-001).
+Les anciens chemins `core.auth.mfa`, `core.auth.recovery` et
+`core.auth.totp_replay` ont été retirés en Forge 3.0.
+
+## Limites connues
+
+- Le store anti-replay et le rate-limit sont in-memory process-local.
+  En multi-worker, utiliser des sticky sessions.
+- La politique de rotation et la procédure de sauvegarde/restauration de la
+  clé Fernet ne sont pas encore formalisées (exigences Beta restantes).

forge_mvc_mfa-1.0.0b8/README.md

@@ -0,0 +1,85 @@
+# forge-mvc-mfa
+
+Brique MFA (TOTP + codes de récupération) pour le framework Forge.
+
+## Statut : Alpha — préparé pour publication future (MFA-PYPI-READY-001)
+
+`forge-mvc-mfa` est marqué `Development Status :: 3 - Alpha`.
+
+Depuis `SEC-MFA-SECRET-ENCRYPTION-001`, **le secret TOTP est chiffré au repos**
+via Fernet (`cryptography`). La clé est lue depuis `FORGE_MFA_SECRET_KEY` —
+obligatoire au démarrage.
+
+Le module **n'est pas publié sur PyPI dans la vague `1.0.0b7`**.
+Non inclus dans `forge-mvc[all]`. Publication prévue lors d'une release dédiée
+après ticket `MFA-PYPI-READY-001`.
+
+**Mode d'installation (Forge 3.0.x)** : `forge-mvc-mfa` n'est pas encore publié
+sur PyPI. Installation depuis les sources (mode dev) :
+
+```bash
+git clone https://github.com/caucrogeGit/Forge.git
+cd Forge
+pip install -e .
+pip install -r requirements-dev.txt
+```
+
+### Configuration requise
+
+```bash
+# Générer une clé Fernet (à stocker dans .env ou un gestionnaire de secrets)
+python -c "from cryptography.fernet import Fernet; print(Fernet.generate_key().decode())"
+```
+
+Ajouter dans `.env` :
+
+```
+FORGE_MFA_SECRET_KEY=<clé générée ci-dessus>
+```
+
+## Installation (mode source)
+
+```bash
+# Depuis le dépôt Forge (mode développement)
+pip install -r requirements-dev.txt  # installe forge-mvc-mfa depuis packages/
+```
+
+`forge-mvc-mfa` dépend de `pyotp>=2.9`.
+
+## Utilisation
+
+```python
+from forge_mvc_mfa import (
+    AuthMfaFactor,
+    create_totp_factor,
+    confirm_totp_factor,
+    verify_mfa_challenge,
+    is_mfa_enabled,
+)
+```
+
+L'API complète est exposée directement depuis `forge_mvc_mfa`.
+Les fonctions privées (`_persist_session_changes`, `_session_user_matches`)
+doivent être importées depuis `forge_mvc_mfa.mfa`.
+
+## SQL
+
+Les tables nécessaires se trouvent dans `sql/` :
+
+- `sql/auth_mfa_factors.sql` — facteurs TOTP
+- `sql/auth_mfa_recovery_codes.sql` — codes de récupération
+
+Appliquer via `db:apply` ou directement sur la base.
+
+## Compatibilité
+
+Disponible séparément depuis Forge 2.4.0 (ADR-004, MFA-EXTRACT-001).
+Les anciens chemins `core.auth.mfa`, `core.auth.recovery` et
+`core.auth.totp_replay` ont été retirés en Forge 3.0.
+
+## Limites connues
+
+- Le store anti-replay et le rate-limit sont in-memory process-local.
+  En multi-worker, utiliser des sticky sessions.
+- La politique de rotation et la procédure de sauvegarde/restauration de la
+  clé Fernet ne sont pas encore formalisées (exigences Beta restantes).

forge_mvc_mfa-1.0.0b8/forge_mvc_mfa/__init__.py

@@ -0,0 +1,144 @@
+"""forge-mvc-mfa — Module MFA pour Forge : TOTP, codes de recuperation, anti-replay, rate-limit.
+
+Module officiel Forge distribue separement depuis Forge 2.4.0.
+Voir packages/forge-mvc-mfa/README.md pour la documentation.
+"""
+from forge_mvc_mfa.secret_crypto import (
+    MfaSecretInvalidKey,
+    MfaSecretKeyMissing,
+    MfaSecretNotEncrypted,
+    decrypt_totp_secret,
+    encrypt_totp_secret,
+)
+from forge_mvc_mfa.mfa import (
+    MFA_CHALLENGE_STARTED_AT_KEY,
+    MFA_CHALLENGE_USER_ID_KEY,
+    MFA_CHALLENGE_MAX_ATTEMPTS,
+    MFA_CHALLENGE_WINDOW_SECONDS,
+    MFA_FACTOR_RECOVERY,
+    MFA_FACTOR_TOTP,
+    MFA_REVALIDATION_AT_KEY,
+    MFA_REVALIDATION_USER_ID_KEY,
+    MFA_REVALIDATION_MAX_ATTEMPTS,
+    MFA_REVALIDATION_WINDOW_SECONDS,
+    MFA_STATUS_ACTIVE,
+    MFA_STATUS_DISABLED,
+    MFA_STATUS_PENDING,
+    AuthMfaFactor,
+    MfaChallengeResult,
+    MfaRevalidationResult,
+    TotpSetup,
+    clear_mfa_challenge,
+    clear_mfa_revalidation,
+    confirm_totp_factor,
+    create_totp_factor,
+    generate_totp_secret,
+    get_mfa_challenge_user_id,
+    get_mfa_revalidated_user_id,
+    has_pending_mfa_challenge,
+    has_recent_mfa_revalidation,
+    is_mfa_enabled,
+    is_mfa_factor_active,
+    is_valid_mfa_factor,
+    mark_mfa_revalidated,
+    normalize_mfa_factor,
+    require_recent_mfa,
+    start_mfa_challenge,
+    totp_provisioning_uri,
+    validate_mfa_factor_contract,
+    verify_mfa_challenge,
+    verify_mfa_revalidation,
+    verify_totp_code,
+)
+from forge_mvc_mfa.recovery import (
+    AuthMfaRecoveryCode,
+    RecoveryCodesSetup,
+    consume_recovery_code,
+    create_recovery_codes,
+    generate_recovery_code,
+    hash_recovery_code,
+    is_valid_recovery_code_record,
+    normalize_recovery_code,
+    normalize_recovery_code_record,
+    validate_recovery_code_contract,
+    verify_recovery_code,
+)
+from forge_mvc_mfa.totp_replay import (
+    is_replay,
+    purge_all as purge_all_totp_replay,
+    purge_old,
+    record_used,
+    step_for_time,
+)
+
+__version__ = "1.0.0b8"
+
+__all__ = [
+    # mfa — facteurs et types
+    "AuthMfaFactor",
+    "MfaChallengeResult",
+    "MfaRevalidationResult",
+    "TotpSetup",
+    "MFA_FACTOR_TOTP",
+    "MFA_FACTOR_RECOVERY",
+    "MFA_STATUS_PENDING",
+    "MFA_STATUS_ACTIVE",
+    "MFA_STATUS_DISABLED",
+    # mfa — clés de session
+    "MFA_CHALLENGE_USER_ID_KEY",
+    "MFA_CHALLENGE_STARTED_AT_KEY",
+    "MFA_CHALLENGE_MAX_ATTEMPTS",
+    "MFA_CHALLENGE_WINDOW_SECONDS",
+    "MFA_REVALIDATION_USER_ID_KEY",
+    "MFA_REVALIDATION_AT_KEY",
+    "MFA_REVALIDATION_MAX_ATTEMPTS",
+    "MFA_REVALIDATION_WINDOW_SECONDS",
+    # mfa — TOTP
+    "create_totp_factor",
+    "confirm_totp_factor",
+    "verify_totp_code",
+    "totp_provisioning_uri",
+    "generate_totp_secret",
+    "validate_mfa_factor_contract",
+    "normalize_mfa_factor",
+    "is_valid_mfa_factor",
+    "is_mfa_factor_active",
+    "is_mfa_enabled",
+    # mfa — challenge
+    "start_mfa_challenge",
+    "has_pending_mfa_challenge",
+    "get_mfa_challenge_user_id",
+    "clear_mfa_challenge",
+    "verify_mfa_challenge",
+    # mfa — revalidation
+    "mark_mfa_revalidated",
+    "has_recent_mfa_revalidation",
+    "get_mfa_revalidated_user_id",
+    "clear_mfa_revalidation",
+    "verify_mfa_revalidation",
+    "require_recent_mfa",
+    # recovery
+    "AuthMfaRecoveryCode",
+    "RecoveryCodesSetup",
+    "generate_recovery_code",
+    "normalize_recovery_code",
+    "hash_recovery_code",
+    "verify_recovery_code",
+    "create_recovery_codes",
+    "consume_recovery_code",
+    "validate_recovery_code_contract",
+    "normalize_recovery_code_record",
+    "is_valid_recovery_code_record",
+    # secret_crypto
+    "encrypt_totp_secret",
+    "decrypt_totp_secret",
+    "MfaSecretKeyMissing",
+    "MfaSecretInvalidKey",
+    "MfaSecretNotEncrypted",
+    # totp_replay
+    "is_replay",
+    "record_used",
+    "purge_old",
+    "purge_all_totp_replay",
+    "step_for_time",
+]