admin-mrrm/mrrmlabapp
1
0
Fork 0
Code Issues 15 Pull requests Projects Releases 40 Packages 5 Wiki Activity Actions

[Bug] Auth: abgelaufener ID-Token zeigt rohen JS-Stacktrace statt Silent-Refresh oder Re-Login #404

New issue
Closed
opened 2026-05-25 11:17:03 +02:00 by pm-bot · 1 comment
pm-bot commented 2026-05-25 11:17:03 +02:00
Collaborator
Copy link

Beobachtung

Beim Öffnen der Web-App (app.mrrm.de/lists) erscheint prominent als rote User-facing Box ein roher JavaScript-Stacktrace:

UNHANDLED PROMISE: Error: ID token expired
    at v2 (https://app.mrrm.de/assets/index-BoOML86G.js:112:145835)
    at async oie.getUser (https://app.mrrm.de/assets/index-BoOML86G.js:112:150947)

Die App rendert die Listen darunter trotzdem — die Seite ist also nicht komplett kaputt, nur das Auth-State-Handling beim Initial-Load.

Stand: 2026-05-25 11:13 (Stakeholder-Report mit Screenshot).

Erwartetes Verhalten

Bei abgelaufenem ID-Token sollte einer dieser zwei Pfade greifen:

  • A) Silent Refresh: Refresh-Token nutzen um einen neuen ID-Token zu holen, ohne dass der User etwas merkt
  • B) Re-Login-Redirect: Wenn Refresh nicht möglich, direkt zur Login-Seite mit ?returnTo=…, nicht mit Stacktrace im UI

In keinem Fall darf ein roher Stacktrace User-facing erscheinen.

Aktuelles Verhalten

  • oie.getUser wirft Error: ID token expired
  • Die Promise-Rejection wird nicht gefangen
  • Globale Error-Boundary / Toast-Layer zeigt den Raw-Error
  • Listen-Daten kommen trotzdem (vermutlich aus Cache oder mit altem Token, der nur auf der Auth-Layer aber nicht auf der API-Layer geprüft wird — das ist ein separater Konsistenz-Bug)

Zwei Bugs in einem

  1. Auth-Refresh fehlt — abgelaufener ID-Token wird nicht erneuert
  2. Error-Handling fehlt — unhandled promise rejection landet im UI als Stacktrace

Beide sollten zusammen gefixt werden, da das Fehlen von (2) den Schaden von (1) erst sichtbar macht.

Reproduktion

  • Web-App öffnen wenn der ID-Token vor längerer Zeit ausgestellt wurde (>Token-Lifetime)
  • Initial-Render löst getUser aus → Fehler

Impact

  • User-facing: Vertrauensschaden, „App ist kaputt"-Eindruck obwohl funktional
  • Häufigkeit: Vermutlich jedes Mal wenn ein User die App nach längerer Pause öffnet
  • Workaround: Seite reloaden + neu einloggen

Mögliche Ursache (Anmerkung PM, kein Tech-Call)

Build-Hash index-BoOML86G.js ist der aktuelle Prod-Build nach dem Versions-Sync-Merge gestern Abend (PR #401, Commit 710c785). Sehr unwahrscheinlich dass die Versions-Sync das eingeführt hat — der Auth-Code wurde dort nicht angefasst. Aber wert zu verifizieren ob das vor dem Merge auch schon passiert ist.

Akzeptanzkriterien

  • Abgelaufener ID-Token triggert Silent-Refresh (falls Refresh-Token gültig)
  • Fallback: Redirect zur Login-Seite mit Return-URL
  • Globale unhandled-promise-Boundary verhindert Raw-Stacktrace im UI
  • Test: Token künstlich invalidieren → kein Stacktrace, Re-Login klappt
## Beobachtung Beim Öffnen der Web-App (`app.mrrm.de/lists`) erscheint **prominent als rote User-facing Box** ein roher JavaScript-Stacktrace: ``` UNHANDLED PROMISE: Error: ID token expired at v2 (https://app.mrrm.de/assets/index-BoOML86G.js:112:145835) at async oie.getUser (https://app.mrrm.de/assets/index-BoOML86G.js:112:150947) ``` Die App rendert die Listen darunter trotzdem — die Seite ist also nicht komplett kaputt, nur das Auth-State-Handling beim Initial-Load. Stand: 2026-05-25 11:13 (Stakeholder-Report mit Screenshot). ## Erwartetes Verhalten Bei abgelaufenem ID-Token sollte einer dieser zwei Pfade greifen: - **A) Silent Refresh:** Refresh-Token nutzen um einen neuen ID-Token zu holen, ohne dass der User etwas merkt - **B) Re-Login-Redirect:** Wenn Refresh nicht möglich, direkt zur Login-Seite mit `?returnTo=…`, **nicht** mit Stacktrace im UI In keinem Fall darf ein roher Stacktrace User-facing erscheinen. ## Aktuelles Verhalten - `oie.getUser` wirft `Error: ID token expired` - Die Promise-Rejection wird nicht gefangen - Globale Error-Boundary / Toast-Layer zeigt den Raw-Error - Listen-Daten kommen trotzdem (vermutlich aus Cache oder mit altem Token, der nur auf der Auth-Layer aber nicht auf der API-Layer geprüft wird — das ist ein **separater** Konsistenz-Bug) ## Zwei Bugs in einem 1. **Auth-Refresh fehlt** — abgelaufener ID-Token wird nicht erneuert 2. **Error-Handling fehlt** — unhandled promise rejection landet im UI als Stacktrace Beide sollten zusammen gefixt werden, da das Fehlen von (2) den Schaden von (1) erst sichtbar macht. ## Reproduktion - Web-App öffnen wenn der ID-Token vor längerer Zeit ausgestellt wurde (>Token-Lifetime) - Initial-Render löst `getUser` aus → Fehler ## Impact - **User-facing:** Vertrauensschaden, „App ist kaputt"-Eindruck obwohl funktional - **Häufigkeit:** Vermutlich jedes Mal wenn ein User die App nach längerer Pause öffnet - **Workaround:** Seite reloaden + neu einloggen ## Mögliche Ursache (Anmerkung PM, kein Tech-Call) Build-Hash `index-BoOML86G.js` ist der aktuelle Prod-Build nach dem Versions-Sync-Merge gestern Abend (PR #401, Commit `710c785`). **Sehr unwahrscheinlich** dass die Versions-Sync das eingeführt hat — der Auth-Code wurde dort nicht angefasst. Aber wert zu verifizieren ob das vor dem Merge auch schon passiert ist. ## Akzeptanzkriterien - [ ] Abgelaufener ID-Token triggert Silent-Refresh (falls Refresh-Token gültig) - [ ] Fallback: Redirect zur Login-Seite mit Return-URL - [ ] Globale unhandled-promise-Boundary verhindert Raw-Stacktrace im UI - [ ] Test: Token künstlich invalidieren → kein Stacktrace, Re-Login klappt
pm-bot commented 2026-05-25 22:30:20 +02:00
Author
Collaborator
Copy link

QA-Reproduzier-Rezept (Vorschlag)

QA-Hut, gepostet via pm-bot. Damit Smoke-Test reproduzierbar ist:

Browser-DevTools (Web)

  1. App öffnen, einloggen
  2. DevTools → Application → Local/Session-Storage bzw. Cookies
  3. ID-Token-Eintrag finden (vermutlich Auth0/OIDC-Schlüssel)
  4. Token-Payload manuell mit abgelaufenem exp ersetzen — per jwt.io ein Token mit exp < now() generieren. Signatur darf gefälscht sein, wir testen Client-Verhalten, nicht Server-Validierung.
  5. Reload → erwartet: Silent-Refresh oder Login-Redirect, kein Stacktrace im UI

Alternative: Time-Travel

  • Browser-System-Zeit auf +2h stellen → ID-Token läuft echt ab → Reload

Mobile Native (falls Auth-Stack identisch)

  • Analog im Native-Storage, oder App 1h+ im Background lassen, dann öffnen

Akzeptanz für #404-Fix

  • Stacktrace-Box erscheint nicht (kein User-facing Raw-Error)
  • Entweder Silent-Refresh (User merkt nichts) oder Login-Redirect mit returnTo
  • Listen werden nach Refresh/Re-Login korrekt nachgeladen (kein API-Cache-Drift — der API-Konsistenz-Teil ist separat als eigenes Issue ausgegliedert)

Reihenfolge fürs Smoke-Sign-off siehe Kommentar in #405.

## QA-Reproduzier-Rezept (Vorschlag) _QA-Hut, gepostet via pm-bot. Damit Smoke-Test reproduzierbar ist:_ ### Browser-DevTools (Web) 1. App öffnen, einloggen 2. DevTools → Application → Local/Session-Storage bzw. Cookies 3. ID-Token-Eintrag finden (vermutlich Auth0/OIDC-Schlüssel) 4. Token-Payload manuell mit abgelaufenem `exp` ersetzen — per jwt.io ein Token mit `exp` < `now()` generieren. Signatur darf gefälscht sein, wir testen Client-Verhalten, nicht Server-Validierung. 5. Reload → erwartet: Silent-Refresh **oder** Login-Redirect, **kein** Stacktrace im UI ### Alternative: Time-Travel - Browser-System-Zeit auf `+2h` stellen → ID-Token läuft echt ab → Reload ### Mobile Native (falls Auth-Stack identisch) - Analog im Native-Storage, oder App 1h+ im Background lassen, dann öffnen ### Akzeptanz für #404-Fix - [ ] Stacktrace-Box erscheint nicht (kein User-facing Raw-Error) - [ ] Entweder Silent-Refresh (User merkt nichts) **oder** Login-Redirect mit `returnTo` - [ ] Listen werden nach Refresh/Re-Login korrekt nachgeladen (kein API-Cache-Drift — der API-Konsistenz-Teil ist separat als eigenes Issue ausgegliedert) Reihenfolge fürs Smoke-Sign-off siehe Kommentar in #405.
admin-mrrm referenced this issue from a commit 2026-05-27 05:53:09 +02:00
chore(release): v0.4.6
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
chore/roadmap-rc32-done
feat/rc32-fdroid-nightly
feat/rc31-auto-index-on-mutation
feat/rc30-auto-index
chore/roadmap-rc28-done
feat/360-projects-source
chore/roadmap-rc27-done
feat/habits-ui
chore/roadmap-rc26-done
feat/planner-v1-depends-on
chore/roadmap-rc25-done
feat/calendar-settings-ui
chore/roadmap-rc24-done
feat/candidate-mark-done
chore/roadmap-rc23-done
fix/shared-schema-todo
chore/roadmap-rc22-done
chore/release-rc22
feat/todo-candidate-writer
chore/roadmap-rc21-done
chore/roadmap-rc21-json-fix
chore/release-v0.6.6-rc21
feat/day-planner-empty-state-ctas
chore/roadmap-rc17-rc18-done
chore/phase2-smoke-manual-trigger
chore/roadmap-rc19-done
fix/list-screens-scrollable
feat/dev-user-header-env-gate
wireup/ai-foundation-phase1
feat/443-search-ui
feat/442-background-indexer
feat/441-data-source-interface
feat/440-sqlite-vec
feat/439-embedding-service
feat/425-mlkit-image-preview-integration
archive/spike-77-ocr-mobile
fix/gitea-release-shell-scope
feat/396-version-sync
feat/376-e2e-drone-integration
feat/374-e2e-playwright-setup
feat/372-planner-v1
feat/370-calendar-read
feat/368-planner-v0
feat/366-habit-source
feat/178-mail-candidate-writer
feat/253-nli-template-ab
fix/348-settings-nav-hijack-v2
fix/347-web-side-drawer
fix/349-profile-menu-close
feat-297-sender-memory-ui
feat-296-web-classifier-sender-memory
feat/294-sender-label-memory
chore/268-analyze-script-dynamic-labels
fix/268-nli-threshold-025
fix/266-imap-getmessage-timeout
fix-imap-unhandled-error
fix-175-onnxruntime-anchor
fix-175-onnxruntime-mainapp
ci-release-gate-apk
ci-mobile-bundle-check
fix-175-native-startup
fix-175-stub-onnxruntime-web
fix-175-import-meta-hermes
feat-web-parcel-scan-toggle
feat-tracking-manual-sync
fix-track17-carrier-ids
feat-232-mail-scanner
feat-233-trackings-post
feat-aftership-provider
feat-195-loading-skeletons
feat-197-error-boundary
feat-194-toast-system
chore/add-claude-md
155-auth-callback-route
feat/fdroid-deploy
fix/mail-messages-pagination-types
feat/ocr-correction-review
fix/ocr-inference-oom
fix/ocr-oom-and-finetune-training
feat/ocr-easyocr-and-training-data
feat/ocr-image-rotate-preview
feat/mobile-image-picker-57
feat/ocr-parse-image-endpoint
feat/lists-notes-e2e
fix/web-show-auth-error-body
fix/deploy-envfile
fix/deploy-ssh-port
feat/drone-deploy
fix/drone-secret-names
fix/dockerfile-deploy-flag
feat/drone-ci
feat/apps-web
feat/shopping-list-crud
v0.6.7-rc33
v0.6.6-rc32
v0.6.6-rc31
v0.6.6-rc30
v0.6.6-rc29
v0.6.6-rc28
v0.6.6-rc27
v0.6.6-rc26
v0.6.6-rc25
v0.6.6-rc24
v0.6.6-rc23
v0.6.6-rc22
v0.6.6-rc21
v0.6.6-rc20
v0.6.6-rc19
debug-rpi5
v0.6.6-rc18
v0.6.6-rc17
v0.6.6-rc16
v0.6.6-rc15
v0.6.6-rc14
v0.6.6-rc13
v0.6.6-rc12
v0.6.6-rc11
v0.6.6-rc10
v0.6.6-rc9
v0.6.6-rc8
v0.6.6-rc7
v0.6.6-rc6
v0.6.6-rc5
v0.6.6-rc4
v0.6.6-rc3
v0.6.6-rc2
v0.6.6-rc1
v0.6.5
v0.6.4
v0.6.3
v0.6.2
v0.6.1
v0.6.0
v0.5.0
v0.4.6
v0.4.5
v1.0.515
v1.0.468
v1.0.449
v1.0.442
Labels
Clear labels   
app/archiv

Document & email archive (Paperless-ngx integration)

  
app/einkaufslisten

   
app/imap-client

   
app/wissensbasis

   
arch-answered

arch-question wurde vom Architekten beantwortet und vom PM in Produkt-Entscheidung übersetzt

  
arch-question

Anfrage an Software-Architekt — Tech-/Architektur-Entscheidung gebraucht (PM hat sie nicht selbst getroffen)

  
area/api

NestJS backend

  
area/auth

Keycloak / OIDC

  
area/infra

Monorepo / CI / tooling

  
area/mobile

Expo React Native app

  
area/shared

Shared packages

  
area/ui

Tamagui UI package

  
area/web

Vite web app

  
portfolio-status

Wöchentlicher CEO-Portfolio-Status

  
prio/high

High priority

  
prio/low

Low priority

  
prio/medium

Medium priority

  
roadmap/public

In der public Roadmap der App sichtbar (roadmap.json kuratiert)

  
size/l

2-3 days

  
size/m

About 1 day

  
size/s

Half a day

  
size/xl

More than 3 days — should be split

  
size/xs

Less than 1 hour

  
status/blocked

Waiting on something

  
status/needs-info

Open questions before work can continue

  
type/bug

Something is broken

  
type/chore

Infra / tooling / maintenance

  
type/docs

Documentation

  
type/feature

New user-facing functionality

  
type/idea

   
type/refactor

Code refactor without behavior change

No labels
app/archiv
app/einkaufslisten
app/imap-client
app/wissensbasis
arch-answered
arch-question
area/api
area/auth
area/infra
area/mobile
area/shared
area/ui
area/web
portfolio-status
prio/high
prio/low
prio/medium
roadmap/public
size/l
size/m
size/s
size/xl
size/xs
status/blocked
status/needs-info
type/bug
type/chore
type/docs
type/feature
type/idea
type/refactor
Milestone
Clear milestone
No items
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
admin-mrrm/mrrmlabapp#404
No description provided.