first commit

server/utils/auth-service.ts

@@ -0,0 +1,107 @@
+import { createError, readBody, type H3Event } from 'h3'
+
+import { signAccessToken } from './jwt'
+import { getAuthRuntimeConfig } from './auth-config'
+import { verifyPassword } from './password'
+import { prisma } from './prisma'
+import { issueRefreshToken, rotateRefreshToken } from './refresh-token'
+
+interface LoginBody {
+  email?: unknown
+  password?: unknown
+}
+
+interface RefreshBody {
+  refresh_token?: unknown
+}
+
+/**
+ * Valida e normaliza email/senha enviados no login.
+ *
+ * @param body Corpo bruto da requisição de login.
+ * @returns Email normalizado e senha pronta para validação.
+ * @throws {H3Error} Quando email ou senha não forem informados.
+ */
+function parseCredentialBody(body: LoginBody) {
+  const email = typeof body.email === 'string' ? body.email.trim().toLowerCase() : ''
+  const password = typeof body.password === 'string' ? body.password : ''
+
+  if (!email || !password) {
+    throw createError({ statusCode: 400, statusMessage: 'email and password are required' })
+  }
+
+  return { email, password }
+}
+
+/**
+ * Valida o refresh token enviado no corpo da requisição.
+ *
+ * @param body Corpo bruto da requisição de refresh.
+ * @returns Refresh token em formato de string.
+ * @throws {H3Error} Quando `refresh_token` não for informado.
+ */
+function parseRefreshBody(body: RefreshBody): string {
+  const refreshToken = typeof body.refresh_token === 'string' ? body.refresh_token.trim() : ''
+
+  if (!refreshToken) {
+    throw createError({ statusCode: 400, statusMessage: 'refresh_token is required' })
+  }
+
+  return refreshToken
+}
+
+/**
+ * Executa o fluxo de login:
+ * valida credenciais, gera access token e emite refresh token.
+ *
+ * @param event Evento HTTP da requisição.
+ * @returns Resposta padrão de autenticação para o cliente.
+ * @throws {H3Error} Quando as credenciais forem inválidas ou faltarem dados.
+ */
+export async function handleLogin(event: H3Event) {
+  const config = getAuthRuntimeConfig(event)
+  const body = await readBody<LoginBody>(event)
+  const { email, password } = parseCredentialBody(body ?? {})
+
+  const user = await prisma.user.findUnique({ where: { email } })
+
+  if (!user || !verifyPassword(password, user.passwordHash)) {
+    throw createError({ statusCode: 401, statusMessage: 'Invalid credentials' })
+  }
+
+  const accessToken = await signAccessToken(event, { sub: user.id })
+
+  const refreshToken = await issueRefreshToken(event, user.id)
+
+  return {
+    access_token: accessToken,
+    refresh_token: refreshToken.token,
+    token_type: 'Bearer',
+    expires_in: config.accessTtlSec
+  }
+}
+
+/**
+ * Executa o fluxo de refresh:
+ * valida o refresh token, rotaciona e retorna novo access token.
+ *
+ * @param event Evento HTTP da requisição.
+ * @returns Novo par de tokens para continuar a sessão.
+ * @throws {H3Error} Quando o refresh token for inválido ou ausente.
+ */
+export async function handleRefresh(event: H3Event) {
+  const config = getAuthRuntimeConfig(event)
+  const body = await readBody<RefreshBody>(event)
+  const incomingRefreshToken = parseRefreshBody(body ?? {})
+
+  const rotated = await rotateRefreshToken(event, incomingRefreshToken)
+
+  const accessToken = await signAccessToken(event, { sub: rotated.user.id })
+
+  return {
+    access_token: accessToken,
+    refresh_token: rotated.token,
+    token_type: 'Bearer',
+    expires_in: config.accessTtlSec
+  }
+}