fix(auth): jose durch pure-JS RS256-Implementierung ersetzen #164

Merged

admin-mrrm merged 2 commits from 162-fix-jose-crypto-subtle into main 2026-05-02 22:01:17 +02:00

Conversation 0 Commits 2 Files changed 3 +191 -34

admin-mrrm commented 2026-05-02 21:27:16 +02:00

Owner

Copy link

Problem

jose (für JWT-Signaturverifikation) nutzt crypto.subtle.importKey — in React Native / Hermes nicht verfügbar → Fehler nach Login.

Lösung

Die gesamte id-token.ts wurde ohne externe JWT-Bibliothek neu implementiert:

RS256-Verifikation (pure JS)

• BigInt-modPow für die RSA-Public-Operation: sig^e mod n
• PKCS#1-v1.5-Padding-Prüfung + SHA-256 via @noble/hashes/sha256
• Funktioniert in jedem JS-Environment ohne native Crypto-API

JWKS-Fetching

• Fetch direkt mit fetch(), ohne createRemoteJWKSet von jose
• 5-Minuten In-Memory-Cache
• Fallback: alle RSA-Keys versuchen wenn kein kid vorhanden

Entfernt

• jose aus packages/auth/package.json (250 transitive Abhängigkeiten entfernt)

Closes #163

## Problem `jose` (für JWT-Signaturverifikation) nutzt `crypto.subtle.importKey` — in React Native / Hermes nicht verfügbar → Fehler nach Login. ## Lösung Die gesamte `id-token.ts` wurde ohne externe JWT-Bibliothek neu implementiert: ### RS256-Verifikation (pure JS) - BigInt-`modPow` für die RSA-Public-Operation: `sig^e mod n` - PKCS#1-v1.5-Padding-Prüfung + SHA-256 via `@noble/hashes/sha256` - Funktioniert in jedem JS-Environment ohne native Crypto-API ### JWKS-Fetching - Fetch direkt mit `fetch()`, ohne `createRemoteJWKSet` von jose - 5-Minuten In-Memory-Cache - Fallback: alle RSA-Keys versuchen wenn kein `kid` vorhanden ### Entfernt - `jose` aus `packages/auth/package.json` (250 transitive Abhängigkeiten entfernt) Closes #163

admin-mrrm added 1 commit 2026-05-02 21:27:16 +02:00

fix(auth): jose durch pure-JS RS256-Implementierung ersetzen ... dc8ea158c2

jose verwendet crypto.subtle.importKey für JWT-Signaturverifikation —
in React Native/Hermes nicht verfügbar.

Neue Implementierung: BigInt modPow + @noble/hashes/sha256.
Kein crypto.subtle, kein native Modul, keine neuen Abhängigkeiten.
jose komplett entfernt.

JWKS wird mit 5-Minuten-Cache selbst gefetcht. RS256 (Keycloak-Default)
wird vollständig kryptografisch verifiziert inklusive PKCS#1-v1.5-Padding.

Closes #163

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

admin-mrrm added 1 commit 2026-05-02 21:59:47 +02:00

Merge branch 'main' into 162-fix-jose-crypto-subtle fd605ae1ca

admin-mrrm merged commit b469a1fc05 into main 2026-05-02 22:01:17 +02:00

admin-mrrm deleted branch 162-fix-jose-crypto-subtle 2026-05-02 22:01:18 +02:00

admin-mrrm referenced this pull request from a commit 2026-05-02 22:01:18 +02:00

Merge pull request 'fix(auth): jose durch pure-JS RS256-Implementierung ersetzen' (#164) from 162-fix-jose-crypto-subtle into main

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels   

app/archiv

Document & email archive (Paperless-ngx integration)

  

app/einkaufslisten

  

app/imap-client

  

app/wissensbasis

  

arch-answered

arch-question wurde vom Architekten beantwortet und vom PM in Produkt-Entscheidung übersetzt

  

arch-question

Anfrage an Software-Architekt — Tech-/Architektur-Entscheidung gebraucht (PM hat sie nicht selbst getroffen)

  

area/api

NestJS backend

  

area/auth

Keycloak / OIDC

  

area/infra

Monorepo / CI / tooling

  

area/mobile

Expo React Native app

  

area/shared

Shared packages

  

area/ui

Tamagui UI package

  

area/web

Vite web app

  

portfolio-status

Wöchentlicher CEO-Portfolio-Status

  

prio/high

High priority

  

prio/low

Low priority

  

prio/medium

Medium priority

  

roadmap/public

In der public Roadmap der App sichtbar (roadmap.json kuratiert)

  

size/l

2-3 days

  

size/m

About 1 day

  

size/s

Half a day

  

size/xl

More than 3 days — should be split

  

size/xs

Less than 1 hour

  

status/blocked

Waiting on something

  

status/needs-info

Open questions before work can continue

  

type/bug

Something is broken

  

type/chore

Infra / tooling / maintenance

  

type/docs

Documentation

  

type/feature

New user-facing functionality

  

type/idea

  

type/refactor

Code refactor without behavior change

No labels

app/archiv

app/einkaufslisten

app/imap-client

app/wissensbasis

arch-answered

arch-question

area/api

area/auth

area/infra

area/mobile

area/shared

area/ui

area/web

portfolio-status

prio/high

prio/low

prio/medium

roadmap/public

size/l

size/m

size/s

size/xl

size/xs

status/blocked

status/needs-info

type/bug

type/chore

type/docs

type/feature

type/idea

type/refactor

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

admin-mrrm/mrrmlabapp!164

No description provided.