corentin_wakdo

AcadeNice/corentin_wakdo

Fork 0

Commit graph

Author	SHA1	Message	Date
Imugiii	e5aba9599e	fix(auth): cookie de session Secure conditionnel au HTTPS (ADR-0010) `secure => true` etait en dur : un cookie Secure n'etant renvoye qu'en HTTPS, la session ne tenait pas en HTTP (dev / standalone local / E2E) et le login admin echouait ("Session expiree" -> CSRF KO). Revele par le parcours E2E admin. SessionManager::cookieSecure() derive le flag du schema : X-Forwarded-Proto=https (pose par Traefik en prod, fiable car l'app n'est joignable que par le proxy sur le reseau interne), sinon var HTTPS, sinon port 443. Applique a la pose ET a l'expiration du cookie. Prod inchange (toujours HTTPS -> Secure). httponly + SameSite=Strict restent inconditionnels. Detail : docs/adr/0010. Verifie : PHPStan L6 OK, 263 tests unit OK, E2E admin (login/garde/logout) vert.	2026-06-17 15:05:40 +00:00

Author

SHA1

Message

Date

Imugiii

e5aba9599e

fix(auth): cookie de session Secure conditionnel au HTTPS (ADR-0010)

`secure => true` etait en dur : un cookie Secure n'etant renvoye qu'en HTTPS, la
session ne tenait pas en HTTP (dev / standalone local / E2E) et le login admin
echouait ("Session expiree" -> CSRF KO). Revele par le parcours E2E admin.

SessionManager::cookieSecure() derive le flag du schema : X-Forwarded-Proto=https
(pose par Traefik en prod, fiable car l'app n'est joignable que par le proxy sur le
reseau interne), sinon var HTTPS, sinon port 443. Applique a la pose ET a l'expiration
du cookie. Prod inchange (toujours HTTPS -> Secure). httponly + SameSite=Strict
restent inconditionnels. Detail : docs/adr/0010.

Verifie : PHPStan L6 OK, 263 tests unit OK, E2E admin (login/garde/logout) vert.

2026-06-17 15:05:40 +00:00

1 commit