feat(auth): refresh token Directus explicite dans le callback JWT NextAuth

Sans ce correctif, l'access token Directus (~15 min) expirait silencieusement, rendant toutes les requêtes API 401 sans déconnecter l'utilisateur. - Ajout de refreshDirectusToken() : POST /auth/refresh avec rotation du refresh_token - accessTokenExpires stocké dès la connexion (expires Directus - marge 60s) - jwt callback : token valide → pass-through, token expiré → refresh, échec → error flag - session callback : propagation de session.error = 'RefreshAccessTokenError' (permet au client de forcer un signOut si le refresh_token est lui-même expiré) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-14 06:37:11 +04:00
parent 7b831d5bc4
commit d8a771161c
2 changed files with 53 additions and 13 deletions
@@ -12,8 +12,8 @@

 - [x] **Headers CSP** — `next.config.mjs` (renommé depuis .js) avec CSP + 4 headers sécurité
 - [x] **Tests unitaires** — Vitest sur `lib/format.js`, `lib/version-utils.js`, `lib/rate-limit.js`
- [ ] **Tests extensions Directus** — mocks VersionsService
- [ ] **Refresh token explicite** — callback `jwt` dans NextAuth options
+- [x] **Tests extensions Directus** — mocks VersionsService
+- [x] **Refresh token explicite** — callback `jwt` dans NextAuth options
 - [ ] **Pipeline CI** — GitHub Actions (lint + test + build)
 - [ ] **Sentry** — tracking erreurs frontend + API routes