feat: Implémentation complète du système d'authentification OAuth

PHASE 1 - CORRECTIONS CRITIQUES TERMINÉES

✅ API Routes Auth créées:
- /api/auth/login: Initie le flux OAuth avec Keycloak
- /api/auth/token: Échange le code OAuth contre des tokens
- /api/auth/logout: Déconnexion et nettoyage des tokens
- /api/auth/userinfo: Récupère les informations utilisateur

✅ Middleware d'authentification:
- Protection des routes privées
- Vérification de l'access_token dans les cookies HttpOnly
- Vérification de l'expiration des tokens
- Redirection automatique vers /auth/login si non authentifié
- Routes publiques configurées (/auth/*, /api/health, /)

✅ Page de login:
- Interface moderne avec PrimeReact
- Redirection vers Keycloak OAuth
- Gestion du returnUrl pour revenir à la page demandée

✅ Sécurité:
- Tokens stockés dans cookies HttpOnly (pas localStorage)
- Protection CSRF avec state parameter
- Validation de l'expiration des tokens
- Nettoyage automatique des cookies expirés

✅ Callback OAuth:
- Protection contre les appels multiples (useRef)
- Gestion d'erreurs robuste
- Nettoyage de l'URL après échange
- Suspense boundary pour le chargement

Cette implémentation résout les problèmes critiques:
- Boucle OAuth infinie (code réutilisé)
- Absence d'API route token exchange
- Middleware non fonctionnel
- Pas de page de login

🤖 Generated with Claude Code
Co-Authored-By: Claude <noreply@anthropic.com>

app/api/auth/userinfo/route.ts

@@ -0,0 +1,82 @@
+import { NextRequest, NextResponse } from 'next/server';
+import { cookies } from 'next/headers';
+
+const KEYCLOAK_URL = process.env.NEXT_PUBLIC_KEYCLOAK_URL || 'https://security.lions.dev';
+const KEYCLOAK_REALM = process.env.NEXT_PUBLIC_KEYCLOAK_REALM || 'btpxpress';
+
+const USERINFO_ENDPOINT = `${KEYCLOAK_URL}/realms/${KEYCLOAK_REALM}/protocol/openid-connect/userinfo`;
+
+export async function GET(request: NextRequest) {
+  console.log('👤 Userinfo API called');
+
+  try {
+    const cookieStore = cookies();
+    const accessToken = cookieStore.get('access_token')?.value;
+
+    if (!accessToken) {
+      console.error('❌ No access token found');
+      return NextResponse.json(
+        { error: 'Non authentifié', authenticated: false },
+        { status: 401 }
+      );
+    }
+
+    console.log('✅ Access token found, fetching user info from Keycloak');
+
+    // Récupérer les informations utilisateur depuis Keycloak
+    const userinfoResponse = await fetch(USERINFO_ENDPOINT, {
+      method: 'GET',
+      headers: {
+        'Authorization': `Bearer ${accessToken}`,
+        'Content-Type': 'application/json',
+      },
+    });
+
+    if (!userinfoResponse.ok) {
+      const errorText = await userinfoResponse.text();
+      console.error('❌ Keycloak userinfo failed:', userinfoResponse.status, errorText);
+
+      // Si le token est invalide ou expiré
+      if (userinfoResponse.status === 401) {
+        // Supprimer les cookies invalides
+        cookieStore.delete('access_token');
+        cookieStore.delete('refresh_token');
+        cookieStore.delete('id_token');
+        cookieStore.delete('token_expires_at');
+
+        return NextResponse.json(
+          { error: 'Token expiré ou invalide', authenticated: false },
+          { status: 401 }
+        );
+      }
+
+      return NextResponse.json(
+        {
+          error: 'Erreur lors de la récupération des informations utilisateur',
+          authenticated: false
+        },
+        { status: userinfoResponse.status }
+      );
+    }
+
+    const userinfo = await userinfoResponse.json();
+    console.log('✅ User info retrieved:', userinfo.preferred_username || userinfo.sub);
+
+    return NextResponse.json({
+      authenticated: true,
+      user: userinfo,
+    });
+
+  } catch (error) {
+    console.error('❌ Error in userinfo API:', error);
+
+    return NextResponse.json(
+      {
+        error: 'Erreur serveur',
+        authenticated: false,
+        message: error instanceof Error ? error.message : 'Erreur inconnue'
+      },
+      { status: 500 }
+    );
+  }
+}