Skip to content

sec(oauth): cifra o oauth-store em repouso (AES-256-GCM)#153

Merged
BrunooMoniz merged 1 commit into
mainfrom
sec/encrypt-oauth-store
Jun 19, 2026
Merged

sec(oauth): cifra o oauth-store em repouso (AES-256-GCM)#153
BrunooMoniz merged 1 commit into
mainfrom
sec/encrypt-oauth-store

Conversation

@BrunooMoniz

@BrunooMoniz BrunooMoniz commented Jun 19, 2026

Copy link
Copy Markdown
Owner

Cifra o oauth-store em repouso

data/oauth-store.json guardava client secrets + access/refresh tokens em texto claro no disco. Agora é cifrado com a chave do vault (encryptSecret, AES-256-GCM via SECRETS_KEY).

  • Codec em módulo puro separado (oauth-store-codec.ts) — oauth.ts faz process.exit no import, então o codec fica testável sozinho (3 testes: round-trip, passthrough de legado, fallback sem chave).
  • saveStore cifra (envelope v1:...); loadStore decifra.
  • Backward-compatible + auto-migrante: store legado em claro (começa com {) carrega como está e é re-cifrado no próximo save. Sem passo manual.
  • Fail-safe: sem SECRETS_KEY o encode cai pra texto puro + warning (nunca quebra persistência); loadStore separa "arquivo ausente" (silencioso) de "existe mas não decodifica" (erro ALTO) pra um mismatch de chave não apagar tokens em silêncio.

SECRETS_KEY confirmada presente na VPS. No deploy vou fazer backup do oauth-store.json atual antes de subir. npm run build + npm test verdes (1352/1352).

🤖 Generated with Claude Code

@BrunooMoniz @claude
sec(oauth): cifra o oauth-store em repouso (AES-256-GCM via SECRETS_KEY)
20411e5 
data/oauth-store.json guardava client secrets + access/refresh tokens em TEXTO
CLARO no disco. Passa a cifrar com a mesma chave do vault (encryptSecret), em
módulo puro separado (oauth-store-codec) — oauth.ts faz process.exit no import,
então o codec fica testável sozinho.

- saveStore cifra o JSON (envelope v1:...); loadStore decifra.
- Backward-compatible: um store legado em claro (começa com '{') carrega como
  está e é re-cifrado no próximo save. Sem passo manual de migração.
- Fail-safe: sem SECRETS_KEY o encode cai pra texto puro + warning (nunca quebra
  a persistência); loadStore separa "arquivo ausente" (silencioso) de "existe mas
  não decodifica" (erro ALTO) pra não apagar tokens em silêncio num mismatch de chave.

SECRETS_KEY confirmada presente na VPS. build+test verdes (1352/1352, 3 testes novos).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
@BrunooMoniz BrunooMoniz merged commit 04e381e into main Jun 19, 2026
4 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@BrunooMoniz