Authentication
نظام مصادقة مستقل بالكامل — لا اعتمادية على Lovable أو SSO خارجي.
مكوّنات النظام
| الميزة | الوصف | Endpoint | Method | الحالة |
|---|---|---|---|---|
تسجيل الدخول | PBKDF2 + JWT session cookie | /api/auth/login | POST | Active |
إنشاء حساب | تسجيل مستخدم جديد مع tenant مستقل | /api/auth/signup | POST | Active |
تسجيل الخروج | مسح ملف التعريف وإنهاء الجلسة | /api/auth/logout | POST | Active |
استرجاع كلمة المرور | OTP عبر البريد + رمز إعادة التعيين | /api/auth/forgot-password | POST | Active |
تغيير كلمة المرور | تحقق من كلمة المرور الحالية | /api/auth/change-password | POST | Active |
Session Management | JWT HS256 — HttpOnly + Secure | /api/auth/me | GET | Active |
حماية الصفحات الخاصة | Middleware يحجب غير المسجلين | requireSession() | guard | Active |
ملاحظات
- كلمات المرور مُجزّأة بـ PBKDF2-SHA256 (100k iterations) + salt عشوائي لكل مستخدم.
- الجلسة مخزّنة في cookie باسم
hn_sessionمع HttpOnly و Secure و SameSite. - كل صفحة محمية تتحقق من الجلسة عبر
requireSession()قبل الـ render. - النظام مستقل تمامًا — لا يوجد تحويل إلى مواقع خارجية أو SSO.