Réconcilier le DTO OAuthStateRejected avec OAuthStateRejectionReason du domaine #26
Labels
No labels
bug
enhancement
pr-split
question
security
transaction-matcher
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
momsse/octant#26
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Issue de suivi de la review de #63 (PR 12 — apps/api), sur le modèle de la PR 4b (#15) carvée des retours de la PR 4 : le finding est réel mais hors périmètre d'un snapshot fidèle.
Constat
Dans
apps/api/src/api/authentication/authentication.group.ts, le DTO d'erreur :ne correspond pas à l'union de raisons du domaine (
packages/domain/authentication/.../security-signal.value-object.ts) :Conséquences :
state_mismatchn'est jamais émis — littéral mort dans la surface API.malformed/invalid_payload/invalid_signatureeninvalid_signature(perte d'information côté client/télémétrie).Pourquoi pas dans #63
Ce DTO et ce mapping sont identiques sur
feat/authentication: ni du drift vsmain, ni une des catégories de conformité documentées du découpage. Les corriger dans le snapshot créerait un écart hors-conformité vs la branche de référence et casserait l'invariant de vérification finale (git diff main feat/authenticationréduit aux catégories de conformité).Options
reason: error.reasontel quel.state_mismatchmort et documenter le choix de non-divulgation.