security(auth): P1 Token Refresh + sessionStorage

- 新增三個 refresh 端點(member/provider/admin),revoke 舊 token 發行新 7 天 token
- axios.js / coachAxios.js:401 interceptor 改為 refresh-then-retry,含 isRefreshing queue 防並發、isRedirecting flag 防雙重 redirect
- auth.js / coachAuth.js / AuthCallbackView.vue:localStorage 全改為 sessionStorage
- echo.js / notificationAxios.js:同步改為 sessionStorage
- notifications.js:401 時停止 polling(stopPolling),不印 error log
- 新增 TokenRefreshTest.php(11 tests / 24 assertions):refresh 成功/失效/跨角色 403

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
2026-06-02 04:33:35 +08:00
parent a94c2462b8
commit d9f0fe11c6
25 changed files with 787 additions and 48 deletions
+6 -2
View File
@@ -36,12 +36,16 @@
---
### Requirement: 管理員 Bearer Token 有效期
後端 SHALL 發行有效期為 7 天的管理員 Bearer Token,過期後需重新登入。
後端 SHALL 發行有效期為 7 天的管理員 Bearer Token。主動使用 API 的 session 可透過 refresh 端點取得新 tokensliding window);閒置超過 7 天後需重新登入。
#### Scenario: Token 過期後管理員請求被拒絕
- **WHEN** 管理員使用已過期(超過 7 天)的 token 送出 API 請求
- **WHEN** 管理員使用已過期(超過 7 天未 refresh)的 token 送出 API 請求
- **THEN** 回傳 HTTP 401token 視為無效
#### Scenario: 有效期內 token 正常通過認證
- **WHEN** 管理員使用未過期的 token 送出 API 請求
- **THEN** 請求正常通過認證,回傳對應資源
#### Scenario: Refresh 延續有效期
- **WHEN** 管理員在 token 過期前呼叫 `POST /api/admin/refresh`
- **THEN** 取得新的 7 天 token,舊 token 失效,有效期重置
+6 -2
View File
@@ -91,12 +91,16 @@
---
### Requirement: Coach 路由守衛
前端 SHALL 對所有 `/coach/*` 路由(login 除外)加上 navigation guard,未登入時導向 `/coach/login`
前端 SHALL 對所有 `/coach/*` 路由(login 除外)加上 navigation guard,未登入時導向 `/coach/login`auth state 以 sessionStorage 為來源,API 請求支援 refresh-then-retry。
#### Scenario: 未登入訪問 Dashboard
- **WHEN** 未登入使用者直接訪問 `/coach/dashboard`
- **THEN** 自動導向 `/coach/login`
#### Scenario: 分頁關閉後重開需重新登入
- **WHEN** 教練關閉分頁後重新開啟 `/coach/dashboard`
- **THEN** sessionStorage 已清除,自動導向 `/coach/login`
#### Scenario: 登出
- **WHEN** 教練點擊登出
- **THEN** 呼叫 `POST /api/provider/logout`,清除 coach_token / coach_user,導向 `/coach/login`
- **THEN** 呼叫 `POST /api/provider/logout`,清除 sessionStorage coach_token / coach_user,導向 `/coach/login`
+12 -4
View File
@@ -129,12 +129,20 @@
---
### Requirement: 認證狀態管理
前端 SHALL 使用 Pinia store 管理認證狀態,token 持久化至 localStorage,並在所有需認證的 API 請求自動附加 Bearer token。
前端 SHALL 使用 Pinia store 管理認證狀態,token 存於 sessionStorage(非 localStorage,並在所有需認證的 API 請求自動附加 Bearer token。收到 401 時先嘗試 refresh,成功後 retryrefresh 失敗才清除 session 並導向登入頁。
#### Scenario: 頁面刷新後保持登入狀態
- **WHEN** 已登入使用者重新整理頁面
- **THEN**localStorage 還原 token,使用者仍為登入狀態
- **WHEN** 已登入使用者在同一分頁重新整理頁面
- **THEN**sessionStorage 還原 token,使用者仍為登入狀態
#### Scenario: 分頁關閉後 token 自動清除
- **WHEN** 使用者關閉瀏覽器分頁或瀏覽器
- **THEN** sessionStorage 自動清除,重新開啟需重新登入
#### Scenario: Token 過期後自動 refresh
- **WHEN** API 請求因 token 過期回傳 401
- **THEN** 自動呼叫 `POST /api/member/refresh`,成功後 retry 原始請求,使用者無感知
#### Scenario: 登出
- **WHEN** 使用者點擊登出
- **THEN** 呼叫 `POST /api/member/logout`,清除 localStorage token,導向 `/login`
- **THEN** 呼叫 `POST /api/member/logout`,清除 sessionStorage token,導向 `/login`
+6 -2
View File
@@ -62,12 +62,16 @@
---
### Requirement: Bearer Token 有效期
後端 SHALL 發行有效期為 7 天的 Sanctum Bearer Token,過期後使用者必須重新登入。
後端 SHALL 發行有效期為 7 天的 Sanctum Bearer Token。主動使用 API 的 session 可透過 refresh 端點取得新 tokensliding window),持續使用不需重新登入;閒置超過 7 天後 token 過期,需重新登入。
#### Scenario: Token 過期後請求被拒絕
- **WHEN** 教練使用已過期(超過 7 天)的 token 送出 API 請求
- **WHEN** 教練使用已過期(超過 7 天未 refresh)的 token 送出 API 請求
- **THEN** 回傳 HTTP 401token 視為無效
#### Scenario: 有效期內 token 正常運作
- **WHEN** 教練使用未過期的 token 送出 API 請求
- **THEN** 請求正常通過認證
#### Scenario: Refresh 延續有效期
- **WHEN** 教練在 token 過期前呼叫 `POST /api/provider/refresh`
- **THEN** 取得新的 7 天 token,舊 token 失效,有效期重置
+75
View File
@@ -0,0 +1,75 @@
## ADDED Requirements
### Requirement: Member Token Refresh
後端 SHALL 提供 `POST /api/member/refresh`(需有效 Bearer token),revoke 現有 token 並發行新的 7 天 token。
#### Scenario: 有效 token refresh 成功
- **WHEN** 已登入會員以有效 Bearer token 呼叫 `POST /api/member/refresh`
- **THEN** 回傳 HTTP 200`{ status: true, data: { token, token_type: "Bearer" } }`,舊 token 同時失效
#### Scenario: 無效或過期 token 無法 refresh
- **WHEN** 以過期或無效的 token 呼叫 refresh 端點
- **THEN** 回傳 HTTP 401`{ status: false, message: "無效的 token" }`
#### Scenario: 非 member 角色無法使用 member refresh
- **WHEN** role=provider 的 token 呼叫 `/api/member/refresh`
- **THEN** 回傳 HTTP 403
---
### Requirement: Provider Token Refresh
後端 SHALL 提供 `POST /api/provider/refresh`(需有效 Bearer token),revoke 現有 token 並發行新的 7 天 token。
#### Scenario: 有效 token refresh 成功
- **WHEN** 已登入教練以有效 Bearer token 呼叫 `POST /api/provider/refresh`
- **THEN** 回傳 HTTP 200`{ status: true, data: { token, token_type: "Bearer" } }`,舊 token 同時失效
#### Scenario: 無效或過期 token 無法 refresh
- **WHEN** 以過期或無效的 token 呼叫 refresh 端點
- **THEN** 回傳 HTTP 401
#### Scenario: 非 provider 角色無法使用 provider refresh
- **WHEN** role=member 的 token 呼叫 `/api/provider/refresh`
- **THEN** 回傳 HTTP 403
---
### Requirement: Admin Token Refresh
後端 SHALL 提供 `POST /api/admin/refresh`(需有效 Bearer token),revoke 現有 token 並發行新的 7 天 token。
#### Scenario: 有效 token refresh 成功
- **WHEN** 已登入管理員以有效 Bearer token 呼叫 `POST /api/admin/refresh`
- **THEN** 回傳 HTTP 200`{ status: true, data: { token, token_type: "Bearer" } }`,舊 token 同時失效
#### Scenario: 無效或過期 token 無法 refresh
- **WHEN** 以過期或無效的 token 呼叫 refresh 端點
- **THEN** 回傳 HTTP 401
#### Scenario: 非 admin 角色無法使用 admin refresh
- **WHEN** role=member 或 role=provider 的 token 呼叫 `/api/admin/refresh`
- **THEN** 回傳 HTTP 403
---
### Requirement: 前端 Refresh-Then-Retry 攔截
Member`axios.js`)與 Provider/Coach`coachAxios.js`)的 axios interceptor SHALL 在收到 401 時先嘗試 refresh,成功後以新 token retry 原始請求;refresh 失敗才清除 token 並導向登入頁。同時多個 401 只觸發一次 refresh,其餘請求排隊等待結果。Admin 前端 interceptor 不在此 change 範圍內(Admin Panel 尚未實作)。
#### Scenario: 401 觸發 refresh 並 retry 成功
- **WHEN** API 請求回傳 401 且 refresh 端點回傳新 token
- **THEN** 以新 token 重送原始請求,使用者無感知(不被導向登入頁)
#### Scenario: Refresh 失敗後登出
- **WHEN** API 請求回傳 401 且 refresh 端點也回傳 401
- **THEN** 清除 sessionStorage token,導向登入頁
#### Scenario: 多個並發 401 只觸發一次 refresh
- **WHEN** 同時有多個 API 請求收到 401
- **THEN** 只發出一次 refresh 請求,其他請求等待 refresh 完成後統一以新 token retry
#### Scenario: 登入與 Refresh 端點的 401 不觸發 refresh
- **WHEN** `/login``/register``/refresh` 端點本身回傳 401
- **THEN** 不觸發 refresh,直接將錯誤傳遞給呼叫方(防止無限遞迴)
#### Scenario: 已 retry 的請求不再觸發 refresh
- **WHEN** 某請求已經過一次 refresh-retryretry 後仍回傳 401
- **THEN** 不再嘗試 refresh,直接 reject 並導向登入頁