SmartAuth

SmartAuth est le module d'authentification JWT pour Dolibarr, conçu pour les applications SmartMaker.

Nativement Dolibarr propose une API où chaque utilisateur dispose d'une seule clé d'API donnant accès à tout son périmètre fonctionnel.

Ce fonctionnement pose problème : si vous développez une application mobile qui ne devrait avoir accès qu'à l'agenda de l'utilisateur, avec la clé native l'application pourra également accéder aux factures et autres éléments.

Avec SmartAuth, un utilisateur peut avoir autant de clés d'API qu'il souhaite, chaque clé ayant ses propres droits. Si une clé est liée à une application, elle ne sera pas réutilisable par une autre.

Avantages :

• Cloisonnement des accès : chaque application a sa propre clé
• Révocation ciblée : si un appareil est volé, supprimez uniquement sa clé
• Traçabilité : journaux de connexion par appareil

Accédez aux journaux pour détecter des actions incorrectes et gérer les accès :

Téléchargez SmartAuth gratuitement sur le DoliStore : https://www.dolistore.com/product.php?id=2509&l=fr

┌─────────────┐         ┌─────────────┐         ┌─────────────┐
│   Mobile    │         │   api.php   │         │  Dolibarr   │
│   (React)   │         │   (JWT)     │         │   (PHP)     │
└──────┬──────┘         └──────┬──────┘         └──────┬──────┘
       │                       │                       │
       │  1. POST /login       │                       │
       │  {login, password}    │                       │
       │──────────────────────>│                       │
       │                       │  2. Vérifier user     │
       │                       │──────────────────────>│
       │                       │                       │
       │                       │  3. User valide       │
       │                       │<──────────────────────│
       │  4. {accessToken,     │                       │
       │      refreshToken}    │                       │
       │<──────────────────────│                       │
       │                       │                       │
       │  5. GET /items        │                       │
       │  Authorization: Bearer│                       │
       │──────────────────────>│                       │
       │                       │  6. Valider token     │
       │                       │  + charger user       │
       │                       │──────────────────────>│
       │                       │                       │
       │  7. Données           │                       │
       │<──────────────────────│                       │

SmartAuth utilise deux tokens :

<?php
require_once '../smartmaker-api-prepend.php';

use SmartAuth\Api\AuthController;
use SmartAuth\Api\RouteController as Route;

// Routes publiques
Route::get('login',     AuthController::class, 'index');      // Infos connexion
Route::post('login',    AuthController::class, 'login');      // Authentification
Route::get('refresh',   AuthController::class, 'refresh');    // Refresh token

// Routes protégées
Route::post('logout',   AuthController::class, 'logout', true);  // Déconnexion
Route::post('device',   AuthController::class, 'device', true);  // Enregistrer device

// Vos routes métier...
Route::get('items', ItemController::class, 'index', true);

// Fallback
json_reply('Access denied', 403);

Ce fichier (généré par SmartBoot) contient :

• Les entêtes obligatoires de Dolibarr
• Le chargement de l'autoloader SmartAuth
• L'initialisation de la couche JWT
• L'autoloader des classes de votre module

<note important>Ne modifiez pas ce fichier sauf si vous savez ce que vous faites.</note>

// appConfig.js
export const config = {
  api: {
    prefixUrl: import.meta.env.VITE_API_URL,
    paths: {
      login: "login",
      logout: "logout",
      refresh: "refresh",
    },
  },
};

import { useApi, useGlobalStates } from '@cap-rel/smartcommon';

const LoginPage = () => {
  const api = useApi();
  const gst = useGlobalStates();

  const handleLogin = async (data) => {
    try {
      const user = await api.login(data);
      gst.local.set('session', user);
    } catch (error) {
      console.error('Login failed:', error);
    }
  };

  return (
    <form onSubmit={handleSubmit(handleLogin)}>
      {/* ... */}
    </form>
  );
};

Le hook useApi gère automatiquement le refresh du token :

// Quand l'accessToken expire, useApi :
// 1. Intercepte l'erreur 401
// 2. Appelle GET /refresh avec le refreshToken
// 3. Met à jour les tokens en session
// 4. Rejoue la requête originale

const handleLogout = async () => {
  await api.private.post('logout');
  setSession(null);
  navigate('/login');
};

Pour les notifications push, enregistrez l'appareil après le login :

const registerDevice = async (pushToken) => {
  await api.private.post('device', {
    json: {
      token: pushToken,
      platform: 'android', // ou 'ios', 'web'
      name: 'Mon téléphone',
    },
  });
};

SmartAuth stocke les appareils dans une table dédiée :

• HTTPS obligatoire : Les tokens JWT transitent en clair
• Stockage sécurisé : Utilisez useGlobalStates qui persiste en localStorage chiffré
• Rotation des tokens : Le refreshToken est à usage unique
• Révocation : Supprimez les clés depuis l'interface Dolibarr

1. Connectez-vous à Dolibarr
2. Allez dans votre profil utilisateur
3. Supprimez la clé API de l'appareil volé
4. Les tokens associés seront immédiatement invalidés

SmartAuth inclut un système complet de réinitialisation de mot de passe par token.

// Côté React
const requestReset = async (email) => {
  await api.public.post('password/reset', {
    json: { email }
  });
};

Le serveur :

• Vérifie l'utilisateur (rate limiting : 3 tentatives par 15 minutes)
• Génère un token avec expiration (1 heure)
• Envoie un email avec le lien de réinitialisation

const confirmReset = async (token, newPassword) => {
  await api.public.post('password/confirm', {
    json: { token, password: newPassword }
  });
};

const changePassword = async (oldPassword, newPassword) => {
  await api.private.post('password/change', {
    json: {
      current_password: oldPassword,
      new_password: newPassword
    }
  });
};

SmartAuth fournit un système de fichiers temporaires pour le téléchargement de binaires (exports Excel, PDF générés, etc.).

use SmartAuth\Api\SmartTempFile;

public function exportExcel($payload)
{
    // Générer le fichier
    $filePath = '/tmp/export.xlsx';
    // ... génération du fichier ...

    // Stocker en fichier temporaire (TTL défaut : 1 heure)
    $tempFile = new SmartTempFile();
    $token = $tempFile->store($filePath, [
        'filename' => 'export.xlsx',
        'mimetype' => 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet',
        'user_id' => $payload['user_id'],
        'entity' => $payload['entity'],
    ]);

    return [['token' => $token], 200];
}

// Téléchargement binaire
const downloadExport = async (token) => {
  const response = await api.get(`temp-file/${token}/binary`, { raw: true });
  const blob = await response.blob();

  // Créer un lien de téléchargement
  const url = URL.createObjectURL(blob);
  const a = document.createElement('a');
  a.href = url;
  a.download = 'export.xlsx';
  a.click();
  URL.revokeObjectURL(url);
};

SmartAuth gère automatiquement les headers CORS pour les requêtes cross-origin.

Les requêtes OPTIONS (preflight) sont gérées automatiquement.

<note important>En production, configurez SMARTAUTHCORSORIGIN avec l'URL exacte de votre application au lieu de *.</note>

Si votre Dolibarr est derrière un reverse proxy (nginx, Apache, etc.), configurez les IP de confiance pour que SmartAuth détecte correctement l'adresse IP du client :

Les IP privées (127.x, 10.x, 172.16-31.x, 192.168.x) sont automatiquement considérées comme des proxys de confiance.

SmartAuth définit des routes locales automatiquement chargées. Elles n'ont pas besoin d'être déclarées dans votre api.php :

• Back (PHP) - Routes et Controllers
• Requêtes API - Utilisation de useApi
• Configuration - Configuration du Provider
• Dépôt SmartAuth : https://inligit.fr/cap-rel/dolibarr/plugin-smartauth/