s-authkit 0.1.0__py3-none-any.whl

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
authkit/__init__.py ADDED
@@ -0,0 +1,45 @@
1
+ """s-authkit — JWT ядро авторизации для Skillery проектов.
2
+
3
+ Чистая инфраструктура без завязок на конкретное приложение: JWT RS256 issuing/verification,
4
+ refresh-token management, password hashing. Переиспользуется в будущих
5
+ микросервисах и интеграциях.
6
+
7
+ **Ядро (v0.1):**
8
+ - JWT RS256 issuer/verifier (JoseTokenIssuer)
9
+ - Persistent refresh-token store (IRefreshTokenStore + RefreshTokenRecord)
10
+ - Argon2 password hasher (Argon2PasswordHasher)
11
+ - RSA keypair generation (ensure_jwt_keypair)
12
+
13
+ **Отложено (v0.2+):** OAuth, PermissionResolver, ExchangeCode (app-specific).
14
+
15
+ Зависимости: python-jose[cryptography], passlib[argon2], cryptography.
16
+ """
17
+ from __future__ import annotations
18
+
19
+ from authkit.exceptions import (
20
+ AuthKitError,
21
+ PasswordHashError,
22
+ RefreshTokenError,
23
+ TokenError,
24
+ )
25
+ from authkit.password import Argon2PasswordHasher
26
+ from authkit.refresh import IRefreshTokenStore, RefreshTokenRecord
27
+ from authkit.token import JoseTokenIssuer, TokenClaims, TokenPair, ensure_jwt_keypair
28
+
29
+ __all__ = [
30
+ # exceptions
31
+ "AuthKitError",
32
+ "TokenError",
33
+ "RefreshTokenError",
34
+ "PasswordHashError",
35
+ # token
36
+ "TokenPair",
37
+ "TokenClaims",
38
+ "JoseTokenIssuer",
39
+ "ensure_jwt_keypair",
40
+ # refresh
41
+ "RefreshTokenRecord",
42
+ "IRefreshTokenStore",
43
+ # password
44
+ "Argon2PasswordHasher",
45
+ ]
authkit/exceptions.py ADDED
@@ -0,0 +1,34 @@
1
+ """Исключения модуля authkit."""
2
+ from __future__ import annotations
3
+
4
+
5
+ class AuthKitError(Exception):
6
+ """Базовое исключение модуля authkit."""
7
+
8
+ pass
9
+
10
+
11
+ class TokenError(AuthKitError):
12
+ """Ошибка в работе с JWT."""
13
+
14
+ pass
15
+
16
+
17
+ class RefreshTokenError(AuthKitError):
18
+ """Ошибка refresh-токена (истёк, отозван, неизвестен)."""
19
+
20
+ pass
21
+
22
+
23
+ class PasswordHashError(AuthKitError):
24
+ """Ошибка хеширования пароля."""
25
+
26
+ pass
27
+
28
+
29
+ __all__ = [
30
+ "AuthKitError",
31
+ "TokenError",
32
+ "RefreshTokenError",
33
+ "PasswordHashError",
34
+ ]
@@ -0,0 +1,6 @@
1
+ """Password hashing."""
2
+ from __future__ import annotations
3
+
4
+ from authkit.password.hasher import Argon2PasswordHasher
5
+
6
+ __all__ = ["Argon2PasswordHasher"]
@@ -0,0 +1,55 @@
1
+ """Argon2 password hasher через passlib."""
2
+ from __future__ import annotations
3
+
4
+ from passlib.context import CryptContext
5
+
6
+ from authkit.exceptions import PasswordHashError
7
+
8
+
9
+ class Argon2PasswordHasher:
10
+ """Argon2id password hasher через passlib.
11
+
12
+ Использует passlib с Argon2id схемой, настроенной для интерактивных flow'ов
13
+ (~50-100ms на современном CPU). Возвращает self-contained хеши с salt,
14
+ верификация не требует отдельного хранения salt.
15
+ """
16
+
17
+ def __init__(self) -> None:
18
+ """Инициализирует hasher с Argon2id (passlib defaults)."""
19
+ self._ctx = CryptContext(schemes=["argon2"], deprecated="auto")
20
+
21
+ def hash(self, raw: str) -> str:
22
+ """Хеширует пароль.
23
+
24
+ Args:
25
+ raw: Plaintext пароль.
26
+
27
+ Returns:
28
+ Self-contained хеш (algorithm + salt + hash).
29
+
30
+ Raises:
31
+ PasswordHashError: Если хеширование не удалось.
32
+ """
33
+ try:
34
+ return str(self._ctx.hash(raw))
35
+ except Exception as e:
36
+ raise PasswordHashError(f"Failed to hash password: {e}") from e
37
+
38
+ def verify(self, raw: str, hashed: str) -> bool:
39
+ """Проверяет пароль против хеша.
40
+
41
+ Args:
42
+ raw: Plaintext пароль для проверки.
43
+ hashed: Self-contained хеш для сравнения.
44
+
45
+ Returns:
46
+ True если пароль совпадает, False иначе.
47
+ """
48
+ try:
49
+ return bool(self._ctx.verify(raw, hashed))
50
+ except Exception:
51
+ # Любая ошибка (невалидный хеш, невалидный пароль) → False
52
+ return False
53
+
54
+
55
+ __all__ = ["Argon2PasswordHasher"]
@@ -0,0 +1,9 @@
1
+ """Refresh token management and store contract."""
2
+ from __future__ import annotations
3
+
4
+ from authkit.refresh.models import IRefreshTokenStore, RefreshTokenRecord
5
+
6
+ __all__ = [
7
+ "RefreshTokenRecord",
8
+ "IRefreshTokenStore",
9
+ ]
@@ -0,0 +1,249 @@
1
+ """RefreshTokenRecord и IRefreshTokenStore protocol."""
2
+ from __future__ import annotations
3
+
4
+ import hashlib
5
+ from dataclasses import dataclass, field
6
+ from datetime import UTC, datetime
7
+ from typing import Protocol
8
+
9
+
10
+ @dataclass
11
+ class RefreshTokenRecord:
12
+ """Запись о выданном refresh-токене.
13
+
14
+ В БД хранится только sha256(token_plaintext), сам токен остаётся у клиента.
15
+ revoked_at != None означает, что токен был отозван (обычно после rotation).
16
+ """
17
+
18
+ user_id: str
19
+ """Идентификатор пользователя."""
20
+
21
+ company_id: str | None
22
+ """Идентификатор активной компании на момент выдачи."""
23
+
24
+ role_id: str | None
25
+ """Идентификатор роли на момент выдачи."""
26
+
27
+ permissions: tuple[str, ...]
28
+ """Снимок прав на момент выдачи (для snapshot-based авторизации)."""
29
+
30
+ token_hash: str
31
+ """SHA256 хеш plaintext-токена."""
32
+
33
+ expires_at: datetime
34
+ """Момент истечения токена (UTC)."""
35
+
36
+ id: str | None = None
37
+ """Первичный ключ записи в store (назначает store при сохранении)."""
38
+
39
+ created_at: datetime = field(default_factory=lambda: datetime.now(UTC))
40
+ """Момент создания записи (UTC)."""
41
+
42
+ revoked_at: datetime | None = None
43
+ """Момент отзыва токена (None если активен)."""
44
+
45
+ rotated_from: str | None = None
46
+ """ID предыдущего refresh-токена (для rotation chain и audit)."""
47
+
48
+ user_agent: str | None = None
49
+ """User-Agent строка браузера (если есть)."""
50
+
51
+ ip_address: str | None = None
52
+ """IP-адрес, с которого вышёл пользователь (если есть)."""
53
+
54
+ role_slug: str | None = None
55
+ """Slug роли на момент выдачи (для resurrection при rotation)."""
56
+
57
+ @classmethod
58
+ def create(
59
+ cls,
60
+ *,
61
+ user_id: str,
62
+ company_id: str | None,
63
+ role_id: str | None,
64
+ permissions: set[str],
65
+ token_hash: str,
66
+ expires_at: datetime,
67
+ rotated_from: str | None = None,
68
+ user_agent: str | None = None,
69
+ ip_address: str | None = None,
70
+ role_slug: str | None = None,
71
+ ) -> RefreshTokenRecord:
72
+ """Factory-метод для создания RefreshTokenRecord.
73
+
74
+ Args:
75
+ user_id: Идентификатор пользователя.
76
+ company_id: Идентификатор компании (или None).
77
+ role_id: Идентификатор роли (или None).
78
+ permissions: Набор прав (конвертится в sorted tuple).
79
+ token_hash: SHA256(plaintext_token).
80
+ expires_at: Момент истечения.
81
+ rotated_from: ID предыдущего токена при rotation.
82
+ user_agent: User-Agent (опционально).
83
+ ip_address: IP-адрес (опционально).
84
+ role_slug: Slug роли (опционально).
85
+
86
+ Returns:
87
+ RefreshTokenRecord с id=None (назначит store).
88
+ """
89
+ return cls(
90
+ user_id=user_id,
91
+ company_id=company_id,
92
+ role_id=role_id,
93
+ permissions=tuple(sorted(permissions)),
94
+ token_hash=token_hash,
95
+ expires_at=expires_at,
96
+ rotated_from=rotated_from,
97
+ user_agent=user_agent,
98
+ ip_address=ip_address,
99
+ role_slug=role_slug,
100
+ )
101
+
102
+ @staticmethod
103
+ def hash_token(plaintext: str) -> str:
104
+ """Хеширует plaintext-токен в SHA256 для хранения.
105
+
106
+ Args:
107
+ plaintext: Opaque refresh-токен.
108
+
109
+ Returns:
110
+ Hex-string SHA256 хеша.
111
+ """
112
+ return hashlib.sha256(plaintext.encode("utf-8")).hexdigest()
113
+
114
+ def is_expired(self, *, now: datetime | None = None) -> bool:
115
+ """Проверяет, истёк ли токен.
116
+
117
+ Args:
118
+ now: Момент проверки (default: UTC now).
119
+
120
+ Returns:
121
+ True если токен истёк.
122
+ """
123
+ check_time = now or datetime.now(UTC)
124
+ return check_time >= self.expires_at
125
+
126
+ def is_revoked(self) -> bool:
127
+ """Проверяет, отозван ли токен.
128
+
129
+ Returns:
130
+ True если revoked_at != None.
131
+ """
132
+ return self.revoked_at is not None
133
+
134
+ def revoke(self, *, now: datetime | None = None) -> None:
135
+ """Отзывает токен (устанавливает revoked_at).
136
+
137
+ Args:
138
+ now: Момент отзыва (default: UTC now).
139
+
140
+ Raises:
141
+ ValueError: Если токен уже отозван.
142
+ """
143
+ if self.revoked_at is not None:
144
+ raise ValueError("Refresh token already revoked")
145
+ self.revoked_at = now or datetime.now(UTC)
146
+
147
+
148
+ class IRefreshTokenStore(Protocol):
149
+ """Контракт для хранилища refresh-токенов.
150
+
151
+ Реализует асинхронное сохранение, получение и управление refresh-токенами.
152
+ Потребитель (ваше приложение) реализует этот Protocol
153
+ для своей БД.
154
+ """
155
+
156
+ async def save(self, record: RefreshTokenRecord) -> None:
157
+ """Сохраняет новую запись refresh-токена или обновляет существующую.
158
+
159
+ Args:
160
+ record: Запись для сохранения.
161
+ """
162
+ ...
163
+
164
+ async def get_by_hash(self, token_hash: str) -> RefreshTokenRecord | None:
165
+ """Получает запись по хешу токена.
166
+
167
+ Используется при верификации refresh-токена.
168
+
169
+ Args:
170
+ token_hash: SHA256(plaintext_token).
171
+
172
+ Returns:
173
+ RefreshTokenRecord или None если не найден.
174
+ """
175
+ ...
176
+
177
+ async def get_by_id(self, record_id: str) -> RefreshTokenRecord | None:
178
+ """Получает запись по id.
179
+
180
+ Args:
181
+ record_id: Первичный ключ записи.
182
+
183
+ Returns:
184
+ RefreshTokenRecord или None если не найден.
185
+ """
186
+ ...
187
+
188
+ async def list_active_for_user(self, user_id: str) -> list[RefreshTokenRecord]:
189
+ """Список активных (не revoked, не expired) refresh-токенов пользователя.
190
+
191
+ Args:
192
+ user_id: Идентификатор пользователя.
193
+
194
+ Returns:
195
+ Список RefreshTokenRecord.
196
+ """
197
+ ...
198
+
199
+ async def revoke(self, record_id: str, *, now: datetime | None = None) -> None:
200
+ """Отзывает конкретный refresh-токен.
201
+
202
+ Args:
203
+ record_id: ID записи для отзыва.
204
+ now: Момент отзыва (default: UTC now).
205
+ """
206
+ ...
207
+
208
+ async def revoke_all_for_user(
209
+ self, user_id: str, *, now: datetime | None = None
210
+ ) -> int:
211
+ """Отзывает все refresh-токены пользователя (логаут со всех девайсов).
212
+
213
+ Args:
214
+ user_id: Идентификатор пользователя.
215
+ now: Момент отзыва (default: UTC now).
216
+
217
+ Returns:
218
+ Количество отозванных токенов.
219
+ """
220
+ ...
221
+
222
+ async def revoke_all_for_user_except(
223
+ self, user_id: str, except_id: str, *, now: datetime | None = None
224
+ ) -> int:
225
+ """Отзывает все refresh-токены КРОМЕ одного (для ротации на текущем девайсе).
226
+
227
+ Args:
228
+ user_id: Идентификатор пользователя.
229
+ except_id: ID записи, которую НЕ трогать.
230
+ now: Момент отзыва (default: UTC now).
231
+
232
+ Returns:
233
+ Количество отозванных токенов.
234
+ """
235
+ ...
236
+
237
+ async def delete_expired(self, now: datetime) -> int:
238
+ """Удаляет истёкшие refresh-токены (для очистки, запускается scheduler'ом).
239
+
240
+ Args:
241
+ now: Момент проверки (обычно UTC now).
242
+
243
+ Returns:
244
+ Количество удалённых записей.
245
+ """
246
+ ...
247
+
248
+
249
+ __all__ = ["RefreshTokenRecord", "IRefreshTokenStore"]
@@ -0,0 +1,13 @@
1
+ """JWT token management: issuing, verification, key generation."""
2
+ from __future__ import annotations
3
+
4
+ from authkit.token.jose_issuer import JoseTokenIssuer
5
+ from authkit.token.keys import ensure_jwt_keypair
6
+ from authkit.token.models import TokenClaims, TokenPair
7
+
8
+ __all__ = [
9
+ "TokenPair",
10
+ "TokenClaims",
11
+ "JoseTokenIssuer",
12
+ "ensure_jwt_keypair",
13
+ ]
@@ -0,0 +1,247 @@
1
+ """JWT RS256 issuer + persistent refresh-tokens через IRefreshTokenStore."""
2
+ from __future__ import annotations
3
+
4
+ import secrets
5
+ import uuid
6
+ from datetime import UTC, datetime, timedelta
7
+
8
+ from jose import jwt
9
+
10
+ from authkit.exceptions import RefreshTokenError, TokenError
11
+ from authkit.refresh.models import IRefreshTokenStore, RefreshTokenRecord
12
+ from authkit.token.models import TokenClaims, TokenPair
13
+
14
+
15
+ class JoseTokenIssuer:
16
+ """JWT RS256 access-токены + persistent opaque refresh-токены.
17
+
18
+ Access-токен — короткоживущий JWT, не требует БД для верификации.
19
+ Refresh-токен — opaque urlsafe-строка, хранится как хеш в IRefreshTokenStore.
20
+ На rotation старый токен помечается revoked, выдаётся новый
21
+ (rotated_from = old.id для audit-trail).
22
+ """
23
+
24
+ def __init__(
25
+ self,
26
+ *,
27
+ private_key_pem: str,
28
+ public_key_pem: str,
29
+ issuer: str,
30
+ access_ttl_min: int,
31
+ refresh_ttl_days: int,
32
+ refresh_store: IRefreshTokenStore,
33
+ ) -> None:
34
+ """Инициализирует issuer.
35
+
36
+ Args:
37
+ private_key_pem: Приватный RSA ключ в PEM-формате.
38
+ public_key_pem: Публичный RSA ключ в PEM-формате.
39
+ issuer: Строка issuer'а для JWT (напр. "skillery.ru").
40
+ access_ttl_min: TTL access-токена в минутах.
41
+ refresh_ttl_days: TTL refresh-токена в днях.
42
+ refresh_store: Реализация IRefreshTokenStore для хранения refresh-токенов.
43
+ """
44
+ self._priv = private_key_pem
45
+ self._pub = public_key_pem
46
+ self._issuer = issuer
47
+ self._access_ttl = timedelta(minutes=access_ttl_min)
48
+ self._refresh_ttl = timedelta(days=refresh_ttl_days)
49
+ self._store = refresh_store
50
+
51
+ async def issue_pair(
52
+ self,
53
+ *,
54
+ user_id: str,
55
+ company_id: str | None = None,
56
+ role_id: str | None = None,
57
+ permissions: set[str],
58
+ role_slug: str | None = None,
59
+ password_changed_at: datetime | None = None,
60
+ ) -> TokenPair:
61
+ """Выпускает пару токенов (access + refresh).
62
+
63
+ Args:
64
+ user_id: Идентификатор пользователя.
65
+ company_id: Идентификатор активной компании (опционально).
66
+ role_id: Идентификатор роли (опционально, не кладётся в JWT).
67
+ permissions: Набор прав пользователя (snapshot для backward-compat).
68
+ role_slug: Slug роли (если есть, кладётся в токен для резолва прав из БД).
69
+ password_changed_at: Момент последней смены пароля (informational claim).
70
+
71
+ Returns:
72
+ TokenPair с access и refresh токенами.
73
+ """
74
+ return await self._issue_internal(
75
+ user_id=user_id,
76
+ company_id=company_id,
77
+ role_id=role_id,
78
+ permissions=permissions,
79
+ rotated_from=None,
80
+ role_slug=role_slug,
81
+ password_changed_at=password_changed_at,
82
+ )
83
+
84
+ async def _issue_internal(
85
+ self,
86
+ *,
87
+ user_id: str,
88
+ company_id: str | None,
89
+ role_id: str | None,
90
+ permissions: set[str],
91
+ rotated_from: str | None,
92
+ role_slug: str | None = None,
93
+ password_changed_at: datetime | None = None,
94
+ ) -> TokenPair:
95
+ """Внутренняя реализация выпуска пары токенов."""
96
+ now = datetime.now(UTC)
97
+ access_exp = now + self._access_ttl
98
+ refresh_exp = now + self._refresh_ttl
99
+ jti = uuid.uuid4().hex
100
+
101
+ # Формируем payload access-токена
102
+ access_payload: dict[str, object] = {
103
+ "iss": self._issuer,
104
+ "sub": user_id,
105
+ "company_id": company_id if company_id else None,
106
+ # Snapshot прав кладётся только если role_slug отсутствует
107
+ # (backward-compat с legacy токенами, но новые токены с role_slug
108
+ # не кладут snapshot — права резолвятся из БД).
109
+ **(
110
+ {"permissions": sorted(permissions)}
111
+ if role_slug is None
112
+ else {}
113
+ ),
114
+ "iat": int(now.timestamp()),
115
+ "exp": int(access_exp.timestamp()),
116
+ "jti": jti,
117
+ # Момент смены пароля (informational; enforcement читает свежее из БД).
118
+ **(
119
+ {"pwd_changed_at": int(password_changed_at.timestamp())}
120
+ if password_changed_at is not None
121
+ else {}
122
+ ),
123
+ }
124
+
125
+ if role_slug is not None:
126
+ access_payload["role_slug"] = role_slug
127
+
128
+ # Кодируем JWT
129
+ access_token = jwt.encode(access_payload, self._priv, algorithm="RS256")
130
+
131
+ # Генерируем opaque refresh-токен
132
+ refresh_token = secrets.token_urlsafe(32)
133
+
134
+ # Сохраняем запись в store
135
+ record = RefreshTokenRecord.create(
136
+ user_id=user_id,
137
+ company_id=company_id,
138
+ role_id=role_id,
139
+ permissions=permissions,
140
+ token_hash=RefreshTokenRecord.hash_token(refresh_token),
141
+ expires_at=refresh_exp,
142
+ rotated_from=rotated_from,
143
+ role_slug=role_slug,
144
+ )
145
+ await self._store.save(record)
146
+
147
+ return TokenPair(
148
+ access_token=access_token,
149
+ refresh_token=refresh_token,
150
+ access_expires_at=access_exp,
151
+ refresh_expires_at=refresh_exp,
152
+ )
153
+
154
+ def verify_access(self, token: str) -> TokenClaims:
155
+ """Декодирует и верифицирует JWT access-токен.
156
+
157
+ Проверяет подпись (RS256), issuer и срок действия.
158
+
159
+ Args:
160
+ token: JWT access-токен.
161
+
162
+ Returns:
163
+ TokenClaims с распарсенными claims.
164
+
165
+ Raises:
166
+ TokenError: Если токен невалиден, срок истёк или подпись неверна.
167
+ """
168
+ try:
169
+ payload = jwt.decode(
170
+ token,
171
+ self._pub,
172
+ algorithms=["RS256"],
173
+ issuer=self._issuer,
174
+ options={"verify_aud": False},
175
+ )
176
+ except Exception as e:
177
+ raise TokenError(f"Invalid token: {e}") from e
178
+
179
+ return TokenClaims(
180
+ user_id=payload["sub"],
181
+ company_id=payload.get("company_id"),
182
+ permissions=frozenset(payload.get("permissions", [])),
183
+ issued_at=datetime.fromtimestamp(payload["iat"], UTC),
184
+ expires_at=datetime.fromtimestamp(payload["exp"], UTC),
185
+ jti=payload["jti"],
186
+ role_slug=payload.get("role_slug"),
187
+ )
188
+
189
+ async def rotate_refresh(self, refresh_token: str) -> TokenPair:
190
+ """Проверяет refresh-токен, отзывает старый, выпускает новую пару.
191
+
192
+ Implements refresh token rotation: старый токен помечается revoked,
193
+ новая пара выпускается с роль, правами и метаданными из старой записи.
194
+
195
+ Args:
196
+ refresh_token: Opaque refresh-токен (plaintext).
197
+
198
+ Returns:
199
+ Новая TokenPair.
200
+
201
+ Raises:
202
+ RefreshTokenError: Если токен невалиден, истёк, отозван или неизвестен.
203
+ """
204
+ token_hash = RefreshTokenRecord.hash_token(refresh_token)
205
+ record = await self._store.get_by_hash(token_hash)
206
+
207
+ if record is None:
208
+ raise RefreshTokenError("Unknown refresh token")
209
+
210
+ if record.is_revoked():
211
+ # Переиспользование отозванного токена — security incident.
212
+ # Отзываем все токены юзера для безопасности.
213
+ await self._store.revoke_all_for_user(record.user_id)
214
+ raise RefreshTokenError(
215
+ "Refresh token already revoked; all user sessions revoked for security"
216
+ )
217
+
218
+ if record.is_expired():
219
+ raise RefreshTokenError("Refresh token expired")
220
+
221
+ # Отзываем старый токен
222
+ if record.id is not None:
223
+ await self._store.revoke(record.id)
224
+
225
+ # Выпускаем новую пару с сохранением контекста
226
+ return await self._issue_internal(
227
+ user_id=record.user_id,
228
+ company_id=record.company_id,
229
+ role_id=record.role_id,
230
+ permissions=set(record.permissions),
231
+ rotated_from=record.id,
232
+ role_slug=record.role_slug,
233
+ )
234
+
235
+ async def revoke_all_for_user(self, user_id: str) -> int:
236
+ """Отзывает все refresh-токены пользователя (логаут со всех девайсов).
237
+
238
+ Args:
239
+ user_id: Идентификатор пользователя.
240
+
241
+ Returns:
242
+ Количество отозванных токенов.
243
+ """
244
+ return await self._store.revoke_all_for_user(user_id)
245
+
246
+
247
+ __all__ = ["JoseTokenIssuer"]
authkit/token/keys.py ADDED
@@ -0,0 +1,46 @@
1
+ """Генерация и загрузка RSA-ключей для JWT."""
2
+ from __future__ import annotations
3
+
4
+ from pathlib import Path
5
+
6
+ from cryptography.hazmat.primitives import serialization
7
+ from cryptography.hazmat.primitives.asymmetric import rsa
8
+
9
+
10
+ def ensure_jwt_keypair(*, private_path: Path, public_path: Path) -> None:
11
+ """Создаёт RSA 2048 keypair если файлов нет.
12
+
13
+ Если файлы уже существуют, ничего не делает (идемпотентная операция).
14
+ Если директория не существует, создаёт её (mkdir -p).
15
+
16
+ Args:
17
+ private_path: Путь для сохранения приватного ключа (PEM format).
18
+ public_path: Путь для сохранения публичного ключа (PEM format).
19
+ """
20
+ if private_path.exists() and public_path.exists():
21
+ return
22
+
23
+ # Создаём директории если их нет
24
+ private_path.parent.mkdir(parents=True, exist_ok=True)
25
+ public_path.parent.mkdir(parents=True, exist_ok=True)
26
+
27
+ # Генерируем RSA 2048 keypair
28
+ key = rsa.generate_private_key(public_exponent=65537, key_size=2048)
29
+
30
+ # Сохраняем приватный ключ (PKCS8, без шифрования)
31
+ private_pem = key.private_bytes(
32
+ encoding=serialization.Encoding.PEM,
33
+ format=serialization.PrivateFormat.PKCS8,
34
+ encryption_algorithm=serialization.NoEncryption(),
35
+ )
36
+ private_path.write_bytes(private_pem)
37
+
38
+ # Сохраняем публичный ключ
39
+ public_pem = key.public_key().public_bytes(
40
+ encoding=serialization.Encoding.PEM,
41
+ format=serialization.PublicFormat.SubjectPublicKeyInfo,
42
+ )
43
+ public_path.write_bytes(public_pem)
44
+
45
+
46
+ __all__ = ["ensure_jwt_keypair"]
@@ -0,0 +1,71 @@
1
+ """Value objects для токенов: TokenPair, TokenClaims."""
2
+ from __future__ import annotations
3
+
4
+ from dataclasses import dataclass
5
+ from datetime import datetime
6
+
7
+
8
+ @dataclass(frozen=True, slots=True)
9
+ class TokenPair:
10
+ """Пара access + refresh JWT токенов.
11
+
12
+ Access-токен — короткоживущий JWT RS256 (не требует БД для верификации).
13
+ Refresh-токен — opaque urlsafe-строка, хранится как хеш в IRefreshTokenStore.
14
+ """
15
+
16
+ access_token: str
17
+ """JWT access-токен (RS256)."""
18
+
19
+ refresh_token: str
20
+ """Opaque refresh-токен (urlsafe)."""
21
+
22
+ access_expires_at: datetime
23
+ """Момент истечения access-токена (UTC)."""
24
+
25
+ refresh_expires_at: datetime
26
+ """Момент истечения refresh-токена (UTC)."""
27
+
28
+
29
+ @dataclass(frozen=True, slots=True)
30
+ class TokenClaims:
31
+ """Расшифрованные claims из JWT access-токена.
32
+
33
+ Содержит идентификационные данные юзера и опциональный снимок прав
34
+ (для backward-compat с legacy токенами). В современных токенах права
35
+ резолвятся из БД по role_slug.
36
+ """
37
+
38
+ user_id: str
39
+ """Идентификатор пользователя (типизирует потребитель)."""
40
+
41
+ company_id: str | None
42
+ """Идентификатор активной компании (None если логин без компании)."""
43
+
44
+ permissions: frozenset[str]
45
+ """Снимок прав на момент выдачи токена.
46
+
47
+ Для backward-compat с legacy токенами (до E5). Современные токены
48
+ резолвят права из БД по role_slug, не доверяя snapshot'у.
49
+ """
50
+
51
+ issued_at: datetime
52
+ """Момент выдачи токена (UTC)."""
53
+
54
+ expires_at: datetime
55
+ """Момент истечения токена (UTC)."""
56
+
57
+ jti: str
58
+ """JWT ID — уникальный идентификатор этого токена (UUID hex).
59
+
60
+ Используется для revocation tracking по RFC 7519 §4.1.7.
61
+ """
62
+
63
+ role_slug: str | None = None
64
+ """Slug роли на момент выдачи (если есть).
65
+
66
+ Новые токены (E5+) кладут role_slug для резолва прав из БД.
67
+ Legacy токены (до E5) = None.
68
+ """
69
+
70
+
71
+ __all__ = ["TokenPair", "TokenClaims"]
@@ -0,0 +1,199 @@
1
+ Metadata-Version: 2.4
2
+ Name: s-authkit
3
+ Version: 0.1.0
4
+ Summary: JWT RS256 + refresh-tokens + Argon2 hashing — чистая инфраструктура авторизации для Skillery проектов. 0 завязок на конкретное приложение.
5
+ Author: Dmitry
6
+ License: MIT
7
+ License-File: LICENSE
8
+ Requires-Python: >=3.11
9
+ Requires-Dist: cryptography>=41.0.0
10
+ Requires-Dist: passlib[argon2]>=1.7.4
11
+ Requires-Dist: python-jose[cryptography]>=3.3.0
12
+ Provides-Extra: dev
13
+ Requires-Dist: pytest-asyncio>=0.24; extra == 'dev'
14
+ Requires-Dist: pytest-cov>=6.0; extra == 'dev'
15
+ Requires-Dist: pytest>=8; extra == 'dev'
16
+ Description-Content-Type: text/markdown
17
+
18
+ # s-authkit
19
+
20
+ Ядро авторизации для Skillery проектов: JWT RS256, refresh-token management, Argon2 hashing.
21
+
22
+ **Версия:** 0.1 (первый релиз)
23
+ **Лицензия:** MIT
24
+ **Зависимости:** `python-jose[cryptography]`, `passlib[argon2]`, `cryptography`
25
+
26
+ ## Что входит
27
+
28
+ ### JWT access-токены (RS256)
29
+ - `JoseTokenIssuer` — выпуск и верификация JWT
30
+ - `TokenPair` / `TokenClaims` — value objects для типизации
31
+ - `ensure_jwt_keypair` — генерация RSA 2048 ключей
32
+
33
+ ### Persistent refresh-tokens
34
+ - `IRefreshTokenStore` — protocol для БД-реализации
35
+ - `RefreshTokenRecord` — агрегат с хешированием и валидацией
36
+ - Rotation с audit-trail (`rotated_from`)
37
+
38
+ ### Password hashing
39
+ - `Argon2PasswordHasher` — Argon2id через passlib
40
+
41
+ ## Примеры
42
+
43
+ ### 1. Инициализация
44
+
45
+ ```python
46
+ from pathlib import Path
47
+ from authkit import (
48
+ JoseTokenIssuer,
49
+ Argon2PasswordHasher,
50
+ ensure_jwt_keypair,
51
+ )
52
+
53
+ # Создаём ключи (если нет)
54
+ keys_dir = Path.home() / ".myapp" / "keys"
55
+ ensure_jwt_keypair(
56
+ private_path=keys_dir / "jwt_private.pem",
57
+ public_path=keys_dir / "jwt_public.pem",
58
+ )
59
+
60
+ # Прочитаем ключи
61
+ private_key = (keys_dir / "jwt_private.pem").read_text()
62
+ public_key = (keys_dir / "jwt_public.pem").read_text()
63
+
64
+ # Создаём компоненты
65
+ hasher = Argon2PasswordHasher()
66
+ issuer = JoseTokenIssuer(
67
+ private_key_pem=private_key,
68
+ public_key_pem=public_key,
69
+ issuer="myproject.com",
70
+ access_ttl_min=15,
71
+ refresh_ttl_days=30,
72
+ refresh_store=your_store_impl, # реализуете вы
73
+ )
74
+ ```
75
+
76
+ ### 2. Login (выпуск пары токенов)
77
+
78
+ ```python
79
+ async def login_with_password(username: str, password: str):
80
+ # Получаем юзера из БД
81
+ user = await db.get_user_by_username(username)
82
+ if not user:
83
+ raise ValueError("User not found")
84
+
85
+ # Проверяем пароль
86
+ if not hasher.verify(password, user.password_hash):
87
+ raise ValueError("Invalid password")
88
+
89
+ # Выпускаем пару
90
+ pair = await issuer.issue_pair(
91
+ user_id=str(user.id),
92
+ company_id=str(user.active_company_id) if user.active_company_id else None,
93
+ permissions={"skill.read", "skill.install"},
94
+ )
95
+ return pair
96
+ ```
97
+
98
+ ### 3. Middleware (верификация токена)
99
+
100
+ ```python
101
+ from authkit import TokenError
102
+
103
+ async def auth_middleware(request, call_next):
104
+ auth_header = request.headers.get("Authorization", "")
105
+ if not auth_header.startswith("Bearer "):
106
+ return Response("Unauthorized", status_code=401)
107
+
108
+ token = auth_header[7:]
109
+ try:
110
+ claims = issuer.verify_access(token)
111
+ except TokenError as e:
112
+ return Response(f"Invalid token: {e}", status_code=401)
113
+
114
+ request.state.claims = claims
115
+ return await call_next(request)
116
+ ```
117
+
118
+ ### 4. Refresh (rotation)
119
+
120
+ ```python
121
+ async def refresh_session(refresh_token: str):
122
+ try:
123
+ new_pair = await issuer.rotate_refresh(refresh_token)
124
+ except RefreshTokenError as e:
125
+ raise Unauthorized(f"Refresh failed: {e}")
126
+ return new_pair
127
+ ```
128
+
129
+ ### 5. Реализация IRefreshTokenStore
130
+
131
+ ```python
132
+ from authkit import RefreshTokenRecord, IRefreshTokenStore
133
+
134
+ class PostgresRefreshTokenStore:
135
+ def __init__(self, db_engine):
136
+ self.engine = db_engine
137
+
138
+ async def save(self, record: RefreshTokenRecord) -> None:
139
+ # INSERT/UPDATE в БД
140
+ async with self.engine.begin() as conn:
141
+ await conn.execute(
142
+ "INSERT INTO refresh_tokens (user_id, token_hash, ...) VALUES (...)"
143
+ )
144
+
145
+ async def get_by_hash(self, token_hash: str) -> RefreshTokenRecord | None:
146
+ # SELECT * FROM refresh_tokens WHERE token_hash = ?
147
+ ...
148
+
149
+ async def revoke_all_for_user(self, user_id: str) -> int:
150
+ # UPDATE refresh_tokens SET revoked_at = NOW() WHERE user_id = ?
151
+ ...
152
+
153
+ # Реализуете остальные методы Protocol'а
154
+ ```
155
+
156
+ ## Архитектура
157
+
158
+ ```
159
+ authkit/
160
+ ├── __init__.py # Public API
161
+ ├── exceptions.py # AuthKitError, TokenError, ...
162
+ ├── token/
163
+ │ ├── models.py # TokenPair, TokenClaims
164
+ │ ├── jose_issuer.py # JoseTokenIssuer
165
+ │ └── keys.py # ensure_jwt_keypair
166
+ ├── refresh/
167
+ │ └── models.py # RefreshTokenRecord, IRefreshTokenStore
168
+ └── password/
169
+ └── hasher.py # Argon2PasswordHasher
170
+ ```
171
+
172
+ ## Тестирование
173
+
174
+ ```bash
175
+ pytest tests/ # Все тесты
176
+ pytest tests/ -v --cov # С coverage report
177
+ pytest tests/ -k "test_verify" # Конкретный тест
178
+ ```
179
+
180
+ Coverage gate: ≥ 80%.
181
+
182
+ ## Что НЕ входит (v0.1)
183
+
184
+ - **OAuth** (YandexOAuth, ExchangeCode) — в v0.2+
185
+ - **PermissionResolver** — остаются на стороне приложения
186
+ - **Redis cache invalidation** — в v0.2+ как optional
187
+ - **Signing PK/SK rotation** — будущая фича
188
+ - **Sync обёртки** — только async API в v0.1
189
+
190
+ ## Интеграция в существующее приложение
191
+
192
+ Типовой путь перевода существующего приложения на модуль:
193
+ 1. Импортирует `from authkit import ...` вместо локального кода
194
+ 2. Обёрнет `RefreshTokenRecord` в ORM-адаптер для своей БД
195
+ 3. Оставит PermissionResolver/OAuth/ExchangeCode локально
196
+
197
+ ## Лицензия
198
+
199
+ MIT
@@ -0,0 +1,14 @@
1
+ authkit/__init__.py,sha256=prkSfCH0YcS_p60thT3Qq_ZSRaHevbsvXt26AwcAzUc,1517
2
+ authkit/exceptions.py,sha256=ZqgxdRY8b_0XkfyH3K_wnqfA1maj0d1aeB1icJiamX8,648
3
+ authkit/password/__init__.py,sha256=3euzmIIZm-AQpZ3gzTsvVLRSDdkmbb2v8dD5VzNXTYM,153
4
+ authkit/password/hasher.py,sha256=eovF2jxgVaapyDzv0B68m866A7O6Fqvs_dpL0YHwahU,1911
5
+ authkit/refresh/__init__.py,sha256=S7vFIN8UwRCeQHljLOnJIiG3ny1lJGDju2Sk4dISHHQ,228
6
+ authkit/refresh/models.py,sha256=Ud-KHKKYTmco1v4pOkMKt7sK_abkCgVZFJRLaDMbB1w,9075
7
+ authkit/token/__init__.py,sha256=cvcVH5ELdVYB4wparFfWJhJRHxzUc6u8fYF_BbZr39E,363
8
+ authkit/token/jose_issuer.py,sha256=UfB5ZvbC7tz7m5LxOJXTlra9M9eyjZU8bs7BLhlczcI,9707
9
+ authkit/token/keys.py,sha256=hkFB2lx28aOQZg86nj-FwU8Xtsc9-BA9RmMbKMVap44,1840
10
+ authkit/token/models.py,sha256=cNAADu1MRdqoDnCL_wjhtJFqZBIsLo456EIwxUo7N5M,2544
11
+ s_authkit-0.1.0.dist-info/METADATA,sha256=EPW_kdipgDq6XAuodfftCquTX00XC4RV8BhzgmKbhA4,6394
12
+ s_authkit-0.1.0.dist-info/WHEEL,sha256=mffPy8wBnZQn2VnJUU5jE99KsxaSfiyMHV9Yt0aLVxs,87
13
+ s_authkit-0.1.0.dist-info/licenses/LICENSE,sha256=j9GKJmUNdQuKRUbKhbpv0uyMaL99xsxE6L2TDtXuaZ4,1063
14
+ s_authkit-0.1.0.dist-info/RECORD,,
@@ -0,0 +1,4 @@
1
+ Wheel-Version: 1.0
2
+ Generator: hatchling 1.30.1
3
+ Root-Is-Purelib: true
4
+ Tag: py3-none-any
@@ -0,0 +1,21 @@
1
+ MIT License
2
+
3
+ Copyright (c) 2026 Dmitry
4
+
5
+ Permission is hereby granted, free of charge, to any person obtaining a copy
6
+ of this software and associated documentation files (the "Software"), to deal
7
+ in the Software without restriction, including without limitation the rights
8
+ to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
9
+ copies of the Software, and to permit persons to whom the Software is
10
+ furnished to do so, subject to the following conditions:
11
+
12
+ The above copyright notice and this permission notice shall be included in all
13
+ copies or substantial portions of the Software.
14
+
15
+ THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
16
+ IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
17
+ FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
18
+ AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
19
+ LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
20
+ OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
21
+ SOFTWARE.