gradatum-admin 0.4.1

CLI ops — init/migrate/backup/restore + vault create/list/swap/delete
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153

//! Tests d'intégration AUTH-T4 — sous-commande `gradatum-admin token issue`.
//!
//! Vérifie que :
//! - Les clés Ed25519 générées par `init` sont utilisables pour signer des tokens JWT
//! - Un token signé avec la clé privée est vérifiable avec la clé publique correspondante
//! - Les scopes et tenant_id sont bien embarqués dans le token

use ed25519_dalek::pkcs8::{DecodePrivateKey, DecodePublicKey};
use ed25519_dalek::{SigningKey, VerifyingKey};
use gradatum_auth::jwt::{JwtService, TokenScope};
use tempfile::TempDir;

/// Génère une paire de clés Ed25519 et les écrit dans un TempDir.
///
/// Reproduit la logique de `init::generate_jwt_keys()` pour les tests.
fn generate_keypair(dir: &TempDir) -> (std::path::PathBuf, std::path::PathBuf) {
    use ed25519_dalek::pkcs8::{EncodePrivateKey, EncodePublicKey};
    use pkcs8::LineEnding;
    use rand::rngs::OsRng;

    let mut csprng = OsRng;
    let signing = SigningKey::generate(&mut csprng);
    let verifying = signing.verifying_key();

    let priv_path = dir.path().join("jwt.private.pem");
    let pub_path = dir.path().join("jwt.public.pem");

    let priv_pem = signing.to_pkcs8_pem(LineEnding::LF).expect("priv pem");
    std::fs::write(&priv_path, priv_pem.as_bytes()).expect("write priv");

    let pub_pem = verifying
        .to_public_key_pem(LineEnding::LF)
        .expect("pub pem");
    std::fs::write(&pub_path, pub_pem.as_bytes()).expect("write pub");

    (priv_path, pub_path)
}

/// Signature d'un token JWT service depuis une clé PEM et vérification.
#[test]
fn token_issue_roundtrip() {
    let dir = TempDir::new().expect("tempdir");
    let (priv_path, _) = generate_keypair(&dir);

    let pem = std::fs::read_to_string(&priv_path).expect("lecture clé privée");
    let signing = SigningKey::from_pkcs8_pem(&pem).expect("décodage PKCS8 PEM");

    let jwt = JwtService::new(
        signing,
        "test-kid".to_string(),
        "gradatum".to_string(),
        3600,
        86400,
    );

    let scopes = vec!["vault_read".to_string(), "vault_search".to_string()];
    let token = jwt
        .sign("mcp-stub", &scopes, TokenScope::Service, "main")
        .expect("signature doit réussir");

    let claims = jwt.verify(&token).expect("vérification doit réussir");

    assert_eq!(claims.sub, "mcp-stub");
    assert_eq!(claims.tenant_id, "main");
    assert!(claims.scopes.contains(&"vault_read".to_string()));
    assert!(claims.scopes.contains(&"vault_search".to_string()));
}

/// La clé publique dérivée de la privée doit être cohérente avec le fichier PEM public.
#[test]
fn keypair_coherent() {
    let dir = TempDir::new().expect("tempdir");
    let (priv_path, pub_path) = generate_keypair(&dir);

    let priv_pem = std::fs::read_to_string(&priv_path).expect("lecture clé privée");
    let pub_pem = std::fs::read_to_string(&pub_path).expect("lecture clé publique");

    let signing = SigningKey::from_pkcs8_pem(&priv_pem).expect("décodage privée");
    let verifying_from_private = signing.verifying_key();
    let verifying_from_file =
        VerifyingKey::from_public_key_pem(&pub_pem).expect("décodage publique");

    assert_eq!(
        verifying_from_private.as_bytes(),
        verifying_from_file.as_bytes(),
        "clé publique dérivée == fichier jwt.public.pem"
    );
}

/// Token avec TTL personnalisé — vérifier que `exp - iat == ttl_secs`.
#[test]
fn token_custom_ttl() {
    let dir = TempDir::new().expect("tempdir");
    let (priv_path, _) = generate_keypair(&dir);

    let pem = std::fs::read_to_string(&priv_path).expect("lecture");
    let signing = SigningKey::from_pkcs8_pem(&pem).expect("décodage");

    let ttl_secs = 7200_u64;
    let jwt = JwtService::new(
        signing,
        "test-kid".to_string(),
        "gradatum".to_string(),
        3600,
        ttl_secs,
    );

    let token = jwt
        .sign(
            "worker",
            &["vault_write".into()],
            TokenScope::Service,
            "main",
        )
        .expect("signature");

    let claims = jwt.verify(&token).expect("vérification");
    let ttl_effective = claims.exp - claims.iat;
    assert_eq!(
        ttl_effective, ttl_secs,
        "TTL effectif doit correspondre au ttl_secs configuré"
    );
}

/// Token avec tenant non-main : tenant_id préservé dans les claims.
#[test]
fn token_tenant_id_preserved() {
    let dir = TempDir::new().expect("tempdir");
    let (priv_path, _) = generate_keypair(&dir);

    let pem = std::fs::read_to_string(&priv_path).expect("lecture");
    let signing = SigningKey::from_pkcs8_pem(&pem).expect("décodage");

    let jwt = JwtService::new(
        signing,
        "test-kid".to_string(),
        "gradatum".to_string(),
        3600,
        86400,
    );

    let token = jwt
        .sign(
            "agent-1",
            &["vault_read".into()],
            TokenScope::Service,
            "staging",
        )
        .expect("signature");

    let claims = jwt.verify(&token).expect("vérification");
    assert_eq!(claims.tenant_id, "staging");
}