OAuth-Auth-Flow vervollstaendigen (PKCE, Callback, Token-Forward) #52

Closed
opened 2026-06-21 14:38:48 +00:00 by niboer · 0 comments
Owner

Beschreibung

Der OAuth2-PKCE-Flow (Issue #3, MS8) wurde nur teilweise implementiert:

  • Login-Route hardcodiert client_id und erzeugt kein PKCE-Challenge
  • Callback-Route ist ein No-Op (nur 302 /)
  • BFF-Proxy leitet kein Authorization: Bearer ans Backend weiter
  • Logout loescht nur session_token

Betroffene Dateien

  • rontend/src/routes/login/+server.ts
  • rontend/src/routes/callback/+server.ts
  • rontend/src/routes/logout/+server.ts
  • rontend/src/routes/api/[...path]/+server.ts
  • rontend/src/hooks.server.ts

Umsetzung

  1. Env-Var KEYCLOAK_CLIENT_ID in .env.example ergaenzen
  2. PKCE code_verifier/code_challenge + state in Login-Route
  3. OAuth-Code-Austausch im Callback (POST an /token-Endpoint)
  4. session_token-Cookie setzen
  5. BFF-Proxy leitet Token als Authorization: Bearer weiter
  6. Logout loescht alle Auth-Cookies
  7. Unit-Tests
### Beschreibung Der OAuth2-PKCE-Flow (Issue #3, MS8) wurde nur teilweise implementiert: - Login-Route hardcodiert client_id und erzeugt kein PKCE-Challenge - Callback-Route ist ein No-Op (nur 302 /) - BFF-Proxy leitet kein Authorization: Bearer ans Backend weiter - Logout loescht nur session_token ### Betroffene Dateien - rontend/src/routes/login/+server.ts - rontend/src/routes/callback/+server.ts - rontend/src/routes/logout/+server.ts - rontend/src/routes/api/[...path]/+server.ts - rontend/src/hooks.server.ts ### Umsetzung 1. Env-Var KEYCLOAK_CLIENT_ID in .env.example ergaenzen 2. PKCE code_verifier/code_challenge + state in Login-Route 3. OAuth-Code-Austausch im Callback (POST an /token-Endpoint) 4. session_token-Cookie setzen 5. BFF-Proxy leitet Token als Authorization: Bearer weiter 6. Logout loescht alle Auth-Cookies 7. Unit-Tests
Sign in to join this conversation.
No description provided.