feat: Réinitialisation de mot de passe avec tokens sécurisés

Implémentation complète du flux de réinitialisation de mot de passe (Story 1.5): Backend: - Aggregate PasswordResetToken avec TTL 1h, UUID v7, usage unique - Endpoint POST /api/password/forgot avec rate limiting (3/h par email, 10/h par IP) - Endpoint POST /api/password/reset avec validation token - Templates email (demande + confirmation) - Repository Redis avec TTL 2h pour distinguer expiré/invalide Frontend: - Page /mot-de-passe-oublie avec message générique (anti-énumération) - Page /reset-password/[token] avec validation temps réel des critères - Gestion erreurs: token invalide, expiré, déjà utilisé Tests: - 14 tests unitaires PasswordResetToken - 7 tests unitaires RequestPasswordResetHandler - 7 tests unitaires ResetPasswordHandler - Tests E2E Playwright pour le flux complet
2026-02-01 23:15:01 +01:00
parent b7354b8448
commit affad287f9
71 changed files with 4829 additions and 222 deletions
--- a/backend/config/services.yaml
+++ b/backend/config/services.yaml
@@ -19,6 +19,8 @@ services:
            Psr\Cache\CacheItemPoolInterface $usersCache: '@users.cache'
            # Bind refresh tokens cache pool (7-day TTL)
            Psr\Cache\CacheItemPoolInterface $refreshTokensCache: '@refresh_tokens.cache'
+            # Bind password reset tokens cache pool (1-hour TTL)
+            Psr\Cache\CacheItemPoolInterface $passwordResetTokensCache: '@password_reset_tokens.cache'
            # Bind named message buses
            Symfony\Component\Messenger\MessageBusInterface $eventBus: '@event.bus'
            Symfony\Component\Messenger\MessageBusInterface $commandBus: '@command.bus'
@@ -79,6 +81,14 @@ services:
        arguments:
            $appUrl: '%app.url%'

+    App\Administration\Infrastructure\Messaging\SendPasswordResetEmailHandler:
+        arguments:
+            $appUrl: '%app.url%'
+
+    App\Administration\Infrastructure\Messaging\SendPasswordResetConfirmationHandler:
+        arguments:
+            $appUrl: '%app.url%'
+
    # Audit log handler (uses dedicated audit channel)
    App\Administration\Infrastructure\Messaging\AuditLoginEventsHandler:
        arguments:
@@ -98,6 +108,16 @@ services:
    App\Administration\Domain\Repository\RefreshTokenRepository:
        alias: App\Administration\Infrastructure\Persistence\Redis\RedisRefreshTokenRepository

+    # Password Reset Token Repository
+    App\Administration\Domain\Repository\PasswordResetTokenRepository:
+        alias: App\Administration\Infrastructure\Persistence\Redis\RedisPasswordResetTokenRepository
+
+    # Password Reset Processor with rate limiters
+    App\Administration\Infrastructure\Api\Processor\RequestPasswordResetProcessor:
+        arguments:
+            $passwordResetByEmailLimiter: '@limiter.password_reset_by_email'
+            $passwordResetByIpLimiter: '@limiter.password_reset_by_ip'
+
    # Login handlers
    App\Administration\Infrastructure\Security\LoginSuccessHandler:
        tags: