AcadeNice/corentin_wakdo
7
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
corentin_wakdo/docs/adr/0010-cookie-secure-conditionnel-https.md
Imugiii e5aba9599e fix(auth): cookie de session Secure conditionnel au HTTPS (ADR-0010) 
`secure => true` etait en dur : un cookie Secure n'etant renvoye qu'en HTTPS, la
session ne tenait pas en HTTP (dev / standalone local / E2E) et le login admin
echouait ("Session expiree" -> CSRF KO). Revele par le parcours E2E admin.

SessionManager::cookieSecure() derive le flag du schema : X-Forwarded-Proto=https
(pose par Traefik en prod, fiable car l'app n'est joignable que par le proxy sur le
reseau interne), sinon var HTTPS, sinon port 443. Applique a la pose ET a l'expiration
du cookie. Prod inchange (toujours HTTPS -> Secure). httponly + SameSite=Strict
restent inconditionnels. Detail : docs/adr/0010.

Verifie : PHPStan L6 OK, 263 tests unit OK, E2E admin (login/garde/logout) vert.
2026-06-17 15:05:40 +00:00

28 lines
1.6 KiB
Markdown
Raw Blame History

# ADR-0010 — Cookie de session Secure conditionnel au HTTPS
- Statut : Accepte
- Date : 2026-06-17
## Contexte
Le cookie de session du back-office etait pose avec `secure => true` en dur
(security-by-design). Or un cookie `Secure` n'est emis/renvoye par le navigateur que
sur HTTPS : en HTTP (dev, stack standalone locale, E2E sans TLS) la session ne tenait
pas d'une requete a l'autre, donc le login admin echouait ("Session expiree" au POST,
le jeton CSRF ne pouvant matcher une session perdue). Revele par le parcours E2E admin.
En prod le souci n'apparait pas : Traefik termine le TLS.
## Decision
`secure` devient **conditionnel au schema** : vrai si la requete est HTTPS, faux sinon.
Detection (`SessionManager::cookieSecure()`) : `X-Forwarded-Proto: https` (pose par
Traefik en prod) en priorite, sinon la variable serveur `HTTPS`, sinon le port 443.
Applique aux deux points (pose du cookie + expiration au logout).
## Consequences
- (+) Le back-office est utilisable en **HTTP local** (dev, standalone, E2E) ; prod
**inchange** (derriere Traefik -> `X-Forwarded-Proto=https` -> `Secure` reste pose).
- (+) Comportement standard (les frameworks derivent `Secure` du schema).
- Confiance en `X-Forwarded-Proto` : sure ici car l'app n'est joignable que par le
reverse proxy sur le reseau interne (aucun acces client direct).
- (-) Un deploiement en **HTTP nu** (sans proxy TLS) n'aurait pas `Secure` — mais servir
l'authentification en HTTP nu est de toute facon a proscrire (independant de ce flag).
- `httponly` et `SameSite=Strict` restent inconditionnels. Revele par [E2E admin](../domaines/auth.md).
Reference in a new issue View git blame Copy permalink