Refactoring

target/classes/application.properties

@@ -10,48 +10,11 @@ quarkus.http.so-reuse-port=true
 quarkus.http.tcp-quick-ack=true
 quarkus.http.tcp-cork=true
 
-# Configuration Session HTTP
-quarkus.http.session-timeout=60m
-quarkus.http.session-cookie-same-site=lax
-quarkus.http.session-cookie-http-only=true
-quarkus.http.session-cookie-secure=false
-
 # Configuration logging
 quarkus.log.console.enable=true
 quarkus.log.console.level=INFO
 quarkus.log.console.format=%d{yyyy-MM-dd HH:mm:ss,SSS} %-5p [%c{2.}] (%t) %s%e%n
 
-# MyFaces Configuration
-quarkus.myfaces.project-stage=Development
-quarkus.myfaces.state-saving-method=server
-quarkus.myfaces.number-of-views-in-session=50
-quarkus.myfaces.number-of-sequential-views-in-session=10
-quarkus.myfaces.serialize-state-in-session=false
-quarkus.myfaces.client-view-state-timeout=3600000
-quarkus.myfaces.view-expired-exception-handler-redirect-page=/
-quarkus.myfaces.check-id-production-mode=false
-quarkus.myfaces.strict-xhtml-links=false
-quarkus.myfaces.refresh-transient-build-on-pss=true
-quarkus.myfaces.resource-max-time-expires=604800000
-quarkus.myfaces.resource-buffer-size=2048
-
-# PrimeFaces Configuration  
-# IMPORTANT: Nous laissons PrimeFaces sans th<74>me par d<>faut et chargeons le th<74>me Freya via index.xhtml/main-template.xhtml
-# pour <20>viter tout double-chargement (ex: Saga + Freya). 
-primefaces.THEME=none
-primefaces.FONT_AWESOME=true
-primefaces.CLIENT_SIDE_VALIDATION=true
-primefaces.MOVE_SCRIPTS_TO_BOTTOM=true
-primefaces.CSP=false
-primefaces.UPLOADER=commons
-primefaces.AUTO_UPDATE=false
-primefaces.CACHE_PROVIDER=org.primefaces.cache.DefaultCacheProvider
-primefaces.RESOURCE_HANDLER=org.primefaces.application.resource.PrimeResourceHandler
-
-# OmniFaces Configuration
-omnifaces.CDN_RESOURCE_HANDLER_DISABLED=true
-omnifaces.COMBINED_RESOURCE_HANDLER_DISABLED=false
-
 # Configuration Backend UnionFlow
 unionflow.backend.url=${UNIONFLOW_BACKEND_URL:http://localhost:8085}
 
@@ -61,8 +24,8 @@ quarkus.rest-client."unionflow-api".scope=jakarta.inject.Singleton
 quarkus.rest-client."unionflow-api".connect-timeout=5000
 quarkus.rest-client."unionflow-api".read-timeout=30000
 
-# Gestion des erreurs REST + propagation JWT vers le backend
-quarkus.rest-client."unionflow-api".providers=dev.lions.unionflow.client.service.RestClientExceptionMapper,dev.lions.unionflow.client.security.JwtClientRequestFilter
+# Gestion des erreurs REST (JwtClientRequestFilter est déprécié - remplacé par AuthHeaderFactory)
+quarkus.rest-client."unionflow-api".providers=dev.lions.unionflow.client.service.RestClientExceptionMapper
 
 # Configuration Keycloak OIDC
 quarkus.oidc.enabled=true
@@ -74,28 +37,22 @@ quarkus.oidc.authentication.redirect-path=/auth/callback
 quarkus.oidc.authentication.restore-path-after-redirect=true
 quarkus.oidc.authentication.scopes=openid,profile,email,roles
 quarkus.oidc.token.issuer=https://security.lions.dev/realms/unionflow
-quarkus.oidc.tls.verification=none
-# quarkus.oidc.authentication.force-redirect-https=false  # Not supported in this Quarkus version
+# SÉCURITÉ: TLS verification DOIT être 'required' par défaut
+# Seulement 'none' en développement local (voir application-dev.properties)
+quarkus.oidc.tls.verification=required
 quarkus.oidc.authentication.cookie-same-site=lax
 quarkus.oidc.authentication.java-script-auto-redirect=false
 quarkus.oidc.discovery-enabled=true
 
-# TEMPORAIRE: contourner un access token invalide (claim realm_access dupliqu<71>e c<>t<EFBFBD> KC)
-# Pour un flux web-app, on peut s'appuyer sur l'ID Token et d<>sactiver la v<>rification de l'Access Token
-# Les deux cl<63>s ci?dessous couvrent les variantes selon version de Quarkus; l'une sera ignor<6F>e si non support<72>e.
-# Vérification du token activée
-# ✅ CORRIGÉ: Le mapper Keycloak problématique a été supprimé (17/11/2025)
-# Le scope "roles" gère maintenant correctement realm_access.roles (objet unique)
-quarkus.oidc.verify-access-token=true
+# Configuration du logout OIDC
+quarkus.oidc.logout.path=/logout
+quarkus.oidc.logout.post-logout-path=/index.xhtml
 
-# Activation de la sécurité
-quarkus.security.auth.enabled=true
-
-# Chemins publics (non prot<6F>g<EFBFBD>s par OIDC) - Doit <20>tre d<>fini en premier
+# Chemins publics (non protégés par OIDC) - Doit être défini en premier
 # La page d'accueil (/) et index.xhtml sont publics pour permettre l'affichage initial
 # IMPORTANT: Les ressources JSF/PrimeFaces sont servies via /jakarta.faces.resource/* (ou /javax.faces.resource/* selon la stack)
-#            Elles doivent <EFBFBD>tre publiques pour permettre le chargement des CSS/JS (th<EFBFBD>me Freya, primeicons, primeflex, etc.)
-#            On inclut <EFBFBD>galement /q/oidc/* pour laisser Quarkus OIDC exposer ses endpoints internes si n<EFBFBD>cessaire.
+#            Elles doivent être publiques pour permettre le chargement des CSS/JS (thème Freya, primeicons, primeflex, etc.)
+#            On inclut également /q/oidc/* pour laisser Quarkus OIDC exposer ses endpoints internes si nécessaire.
 quarkus.http.auth.permission.public.paths=/,/index.xhtml,/pages/public/*,/auth/*,/q/*,/q/oidc/*,/favicon.ico,/resources/*,/META-INF/resources/*,/images/*,/jakarta.faces.resource/*,/javax.faces.resource/*
 quarkus.http.auth.permission.public.policy=permit
 
@@ -105,11 +62,11 @@ quarkus.http.auth.permission.public.policy=permit
 quarkus.http.auth.permission.authenticated.paths=/*
 quarkus.http.auth.permission.authenticated.policy=authenticated
 
-# Configuration Session
+# Configuration Session (custom properties, gérées côté applicatif)
 unionflow.session.timeout=${SESSION_TIMEOUT:1800}
 unionflow.session.remember-me.duration=${REMEMBER_ME_DURATION:604800}
 
-# Configuration de sécurité
+# Configuration de sécurité (custom properties, gérées côté applicatif)
 unionflow.security.enable-csrf=${ENABLE_CSRF:true}
 unionflow.security.password.min-length=${PASSWORD_MIN_LENGTH:8}
 unionflow.security.password.require-special-chars=${PASSWORD_REQUIRE_SPECIAL:true}