fix: migrate suit signing keys script from shell to JavaScript

Author: maxgfr

.claude/rules/styling-dsfr.md

@@ -61,7 +61,7 @@ Never write raw `@media (max-width: 768px)`.
 
 ## DSFR runtime
 
-- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.js` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
+- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.mjs` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
 - **JS**: loaded via `<Script type="module" strategy="beforeInteractive">`. Handles modals, dropdowns, theme toggle, keyboard navigation. Never duplicate this logic in React — use `data-fr-*` attributes.
 - **Dark mode**: `data-fr-scheme="system"` on `<html>`, cookie `fr-theme` read by inline script to avoid flash, `ThemeModal` for user toggle.
 - **Icons**: `fr-icon-{name}-{fill|line}` classes. Always `aria-hidden="true"` on decorative icons.

README.md

@@ -193,12 +193,12 @@ Implémenté dans `packages/app/src/server/services/suitApiAuth.ts`.
 
 ```bash
 # Première génération
-./packages/app/scripts/generate-suit-signing-keys.sh generate dev       # → ./suit-signing-keys/dev/
-./packages/app/scripts/generate-suit-signing-keys.sh generate prod      # → ./suit-signing-keys/prod/
-./packages/app/scripts/generate-suit-signing-keys.sh generate all       # → les deux
+node packages/app/scripts/generate-suit-signing-keys.mjs generate dev    # → ./suit-signing-keys/dev/
+node packages/app/scripts/generate-suit-signing-keys.mjs generate prod   # → ./suit-signing-keys/prod/
+node packages/app/scripts/generate-suit-signing-keys.mjs generate all    # → les deux
 
 # Rotation (sauvegarde les anciennes clés, génère de nouvelles)
-./packages/app/scripts/generate-suit-signing-keys.sh renew prod
+node packages/app/scripts/generate-suit-signing-keys.mjs renew prod
 ```
 
 `generate` refuse d'écraser des clés existantes. `renew` les sauvegarde dans un dossier `backup-{date}` avant de regénérer.
@@ -229,15 +229,15 @@ Implémenté dans `packages/app/src/server/services/suitApiAuth.ts`.
 
    **Option B (script Node fourni)** — signe **toutes les routes SUIT protégées** en une seule exécution et affiche les `curl` prêts à copier :
    ```bash
-   node packages/app/scripts/generate-suit-signature.js \
+   node packages/app/scripts/generate-suit-signature.mjs \
      --key-file ./suit-signing-keys/dev/suit-signing.key
    ```
 
    Le script itère automatiquement sur les routes SUIT (actuellement `GET /api/v1/export/declarations` et `GET /api/v1/files`). Pour signer `GET /api/v1/files/<id>`, passer `--file-id <uuid>`. Pour surcharger l'URL cible, passer `--url https://egapro-preprod.fabrique.social.gouv.fr`. Voir `--help` pour toutes les options. Il suffit ensuite d'exporter `EGAPRO_SUIT_API_KEY=<api-key>` et d'exécuter un des `curl` affichés.
 
 ### Procédure de rotation
 
-1. `./packages/app/scripts/generate-suit-signing-keys.sh renew <env>` — génère une nouvelle paire, sauvegarde l'ancienne
+1. `node packages/app/scripts/generate-suit-signing-keys.mjs renew <env>` — génère une nouvelle paire, sauvegarde l'ancienne
 2. Mettre à jour le sealed-secret K8s avec la nouvelle clé publique
 3. Déployer EgaPro
 4. Transmettre la nouvelle clé privée à SUIT — ils doivent basculer juste après le déploiement

SUIT-API.md docs/SUIT-API.mdSUIT-API.md renamed to docs/SUIT-API.md

@@ -4,7 +4,7 @@ API REST sécurisée pour récupérer les déclarations soumises et les fichiers
 
 ## Base URL
 
-- Alpha : `https://egapro-alpha.ovh.fabrique.social.gouv.fr`
+- Alpha : `https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1`
 
 ## Authentification
 
@@ -42,23 +42,24 @@ export EGAPRO_SUIT_API_KEY="<clé fournie par EGAPRO>"
 
 ## Générer la signature pour toutes les routes (en une commande)
 
-Équivalent shell du script `generate-suit-signature.js`. Signe toutes les routes SUIT avec le même `TS` et affiche les 3 headers + un `curl` prêt à copier pour chacune.
+Signe toutes les routes SUIT avec le même `TS` et affiche les 3 headers + un `curl` prêt à copier pour chacune.
 
 Prérequis : `suit_private_key.pem` dans le dossier courant, `EGAPRO_SUIT_API_KEY` exporté, `BASE_URL` défini.
 
 ```sh
-BASE_URL="https://egapro-alpha.ovh.fabrique.social.gouv.fr"
+BASE_URL="https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1"
+API_PREFIX="/api/v1"
 TS=$(date +%s)
 
 # Remplacer <fileId> par l'identifiant du fichier à télécharger.
 for ROUTE in \
-  "GET /api/v1/export/declarations" \
-  "GET /api/v1/files" \
-  "GET /api/v1/files/<fileId>"
+  "GET /export/declarations" \
+  "GET /files" \
+  "GET /files/<fileId>"
 do
   METHOD="${ROUTE%% *}"
-  FULL_PATH="${ROUTE#* }"
-  PATHNAME="${FULL_PATH%%\?*}"
+  SUBPATH="${ROUTE#* }"
+  PATHNAME="$API_PREFIX$SUBPATH"
   SIG=$(printf '%s|%s|%s' "$TS" "$METHOD" "$PATHNAME" \
     | openssl dgst -sha256 -sign suit_private_key.pem \
     | openssl base64 -A)
@@ -70,12 +71,13 @@ do
   echo "  -H 'Authorization: Bearer '\"\$EGAPRO_SUIT_API_KEY\" \\"
   echo "  -H 'X-Timestamp: $TS' \\"
   echo "  -H 'X-Signature: $SIG' \\"
-  echo "  '$BASE_URL$FULL_PATH'"
+  echo "  '$BASE_URL$SUBPATH'"
   echo
 done
 ```
 
-Fenêtre de validité : **30 jours** sur alpha/dev, **30 secondes** sur preprod/prod. Au-delà → 403, il faut regénérer `TS` + `SIG`.
+> La signature porte sur le **pathname complet** reçu par le serveur (`/api/v1/...`), pas sur le sous-chemin relatif à `BASE_URL`.
+> Au-delà de la fenêtre anti-replay (cf. section Authentification), la requête renverra 403 — regénérer `TS` + `SIG`.
 
 ## Générer pour une seule route
 
@@ -95,7 +97,7 @@ echo "X-Signature: $SIG"
 ### 1. Exporter les déclarations
 
 ```sh
-curl "$BASE_URL/api/v1/export/declarations?date_begin=2026-01-01&date_end=2026-01-31" \
+curl "$BASE_URL/export/declarations?date_begin=2026-01-01&date_end=2026-01-31" \
   -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
   -H "X-Timestamp: $TS" \
   -H "X-Signature: $SIG"
@@ -107,7 +109,7 @@ curl "$BASE_URL/api/v1/export/declarations?date_begin=2026-01-01&date_end=2026-0
 ### 2. Lister les fichiers d'une déclaration
 
 ```sh
-curl "$BASE_URL/api/v1/files?siren=123456789&year=2026" \
+curl "$BASE_URL/files?siren=123456789&year=2026" \
   -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
   -H "X-Timestamp: $TS" \
   -H "X-Signature: $SIG"
@@ -118,13 +120,13 @@ curl "$BASE_URL/api/v1/files?siren=123456789&year=2026" \
 ### 3. Télécharger un fichier
 
 ```sh
-curl -OJ "$BASE_URL/api/v1/files/<fileId>" \
+curl -OJ "$BASE_URL/files/<fileId>" \
   -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
   -H "X-Timestamp: $TS" \
   -H "X-Signature: $SIG"
 ```
 
-Le `fileId` est renvoyé par l'endpoint `/api/v1/files`.
+Le `fileId` est renvoyé par l'endpoint `/files`.
 
 ## Réponses d'erreur
 

packages/app/CLAUDE.md

@@ -201,7 +201,7 @@ Cascade: 1) DSFR classes → 2) DSFR utilities + CSS custom properties → 3) Sc
 
 ### DSFR runtime
 
-- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.js` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
+- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.mjs` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
 - **JS**: loaded via `<Script type="module" strategy="beforeInteractive">`. Handles modals, dropdowns, theme toggle, keyboard navigation. Never duplicate this logic in React — use `data-fr-*` attributes.
 - **Dark mode**: `data-fr-scheme="system"` on `<html>`, cookie `fr-theme` read by inline script to avoid flash, `ThemeModal` for user toggle.
 - **Icons**: `fr-icon-{name}-{fill|line}` classes. Always `aria-hidden="true"` on decorative icons.

packages/app/package.json

@@ -4,7 +4,7 @@
 	"private": true,
 	"type": "module",
 	"scripts": {
-		"build": "node scripts/copy-dsfr.js && node scripts/copy-swagger-ui.mjs && next build",
+		"build": "node scripts/copy-dsfr.mjs && node scripts/copy-swagger-ui.mjs && next build",
 		"check": "biome check .",
 		"check:unsafe": "biome check --write --unsafe .",
 		"check:write": "biome check --write .",
@@ -16,7 +16,7 @@
 		"db:migrate": "drizzle-kit migrate",
 		"db:push": "drizzle-kit push",
 		"db:studio": "drizzle-kit studio",
-		"dev": "node scripts/copy-dsfr.js && node scripts/copy-swagger-ui.mjs && next dev --turbo",
+		"dev": "node scripts/copy-dsfr.mjs && node scripts/copy-swagger-ui.mjs && next dev --turbo",
 		"preview": "next build && next start",
 		"start": "next start",
 		"test": "vitest run",

packages/app/scripts/copy-dsfr.js packages/app/scripts/copy-dsfr.mjspackages/app/scripts/copy-dsfr.js renamed to packages/app/scripts/copy-dsfr.mjs

@@ -119,7 +119,7 @@ Par défaut, signe l'ensemble des routes SUIT connues en une seule exécution.
 Passer --path pour signer une route unique (custom).
 
 Usage :
-  node scripts/generate-suit-signature.js [options]
+  node scripts/generate-suit-signature.mjs [options]
 
 Options :
   --key-file <path>   Chemin vers la clé privée PEM