Authentification

Contexte utilisateur — Structure du payload /me

Structure complète du payload /me : identité, niveaux d'accès, équipes, droits applicatifs et features.

Version v1.04 min de lecture

Contexte utilisateur — Structure du payload /me

/me est votre source de vérité côté frontend pour tout ce qui concerne l'identité et les droits de l'utilisateur courant. Appelez-le une fois après le login, stockez le résultat dans un context React.

Pourquoi cette étape

Le JWT Keycloak contient l'identité minimale (sub, email, niveaux admin). Mais pour construire une UI conditionnelle (masquer/afficher des boutons selon les droits, afficher le bon nom d'organisation, etc.), vous avez besoin du payload complet que seule l'API /me retourne.

/me agrège les données de plusieurs sources (Keycloak claims, DB config, profils, équipes) en un seul appel.

Concepts clés

adminLevel : niveau hiérarchique admin de l'utilisateur (WakaAdmin → None).
wakaRoles : rôles métier transversaux (CONFIG, EXPLOIT, DPO, AUDIT, BILLING, CYBER).
appRights : liste de droits applicatifs de type resource.action accumulés depuis les profils.
features : features activées en cascade App ∧ Network ∧ Customer.
profiles : profils Wakastart assignés à l'utilisateur (détermine les appRights).
teams : équipes dont l'utilisateur est membre, avec son level et ses droits dans chaque équipe.

Appel

http
GET /api/me
Authorization: Bearer <keycloak_access_token>
x-enriched-token: <wakastart_token>

Les deux headers sont requis. La réponse est la même que l'utilisateur appelle avec un Bearer JWT ou une API key.

Réponse complète

json
{
  "id": "550e8400-e29b-41d4-a716-446655440000",
  "wid": "WKST05",
  "email": "john@acme.com",
  "firstName": "John",
  "lastName": "Doe",
  "keycloakId": "kc-550e8400-e29b-41d4-a716-446655440000",
  "isActive": true,

  "adminLevel": "CustomerAdmin",
  "userLevel": "ADMIN",

  "wakaRoles": ["CONFIG", "EXPLOIT"],
  "hdsRoles": [],

  "customer": {
    "id": "uuid",
    "wid": "ACM001",
    "name": "Acme Corp",
    "subdomain": "acme"
  },
  "partner": {
    "id": "uuid",
    "wid": "PTR001",
    "name": "Wakastellar"
  },
  "network": {
    "id": "uuid",
    "wid": "NET001",
    "name": "Production"
  },

  "teams": [
    {
      "id": "uuid",
      "wid": "TEAM01",
      "name": "DevOps",
      "teamLevel": "ADMIN",
      "appRights": "rw"
    }
  ],

  "profiles": [
    {
      "id": "uuid",
      "wid": "PRF001",
      "name": "Administrateur"
    }
  ],

  "appRights": [
    "partners.read",
    "users.read",
    "users.write",
    "users.create",
    "users.update",
    "users.delete",
    "apps.read",
    "apps.create",
    "teams.read",
    "teams.members.add",
    "infra.read",
    "infra.deploy",
    "audit.read",
    "profiles.assign",
    "api-keys.read",
    "api-keys.create",
    "api-keys.revoke"
  ],

  "features": ["invitations", "antivirus"],
  "lastLoginAt": "2026-05-19T10:30:00.000Z",
  "createdAt": "2026-01-15T08:00:00.000Z"
}

Description de chaque champ

Identité

Champ	Type	Description
`id`	UUID	Identifiant interne en base
`wid`	string	Identifiant court (6 chars) pour les URLs
`email`	string	Email de l'utilisateur (lowercase)
`firstName` / `lastName`	string	Prénom / Nom
`keycloakId`	string	UUID Keycloak (`sub` du JWT)
`isActive`	boolean	Compte actif. Si `false`, l'enrichissement échoue

Niveaux d'accès

Champ	Type	Description
`adminLevel`	string	Niveau admin hiérarchique (voir tableau ci-dessous)
`userLevel`	string	Niveau utilisateur : `NONE`, `VIEWER`, `CONTRIBUTOR`, `MEMBER`, `MANAGER`, `ADMIN`, `INVITE`

Hiérarchie adminLevel :

text
WakaAdmin     → Accès total plateforme (super-admin Wakastellar)
OwnerAdmin    → Accès total plateforme (propriétaire partner)
AppsAdmin     → Applications, profils, droits
NetworkAdmin  → Réseaux, customers, apps
CustomerAdmin → Customers, utilisateurs, équipes
User          → Accès basique (propre profil)
None          → Aucun accès admin

Hiérarchique : un NetworkAdmin possède aussi les droits de CustomerAdmin et User.

Contexte multi-tenant

Champ	Type	Description
`customer`	object	Customer auquel l'utilisateur appartient
`partner`	object	Partner parent du customer
`network`	object	Network parent du customer

Rôles métier

Champ	Type	Description
`wakaRoles`	string[]	Rôles Waka : `CONFIG`, `EXPLOIT`, `DPO`, `AUDIT`, `BILLING`, `CYBER`
`hdsRoles`	string[]	Rôles HDS (Healthcare Data Security) : `HDS_ADMIN`, `HDS_PATIENT`, etc.

Équipes

appRights dans le contexte équipe est un champ libre encodé sur la team (distinct des appRights globaux de l'utilisateur).

Profils et droits applicatifs

profiles : profils assignés. Un profil = un ensemble de AppRight côté DB.
appRights : tableau dédupliqué et fusionné de tous les droits provenant de tous les profils. Format : {resource}.{action}.
features : features activées en cascade (App ∧ Network ∧ Customer). Exemple : invitations, antivirus, hds.

Ce qui est dans /me vs dans le JWT

Donnée	JWT enrichi (wakaToken)	/me (API)
Identité (email, sub)	oui (via Keycloak)	oui
`adminLevel` (`wadl`)	oui	oui
Partner/Network/Customer WIDs	oui (`pid`, `nid`, `cid`)	oui (objets complets)
`wakaRoles`	oui	oui
`hdsRoles`	oui	oui
Team rights (`wgrl`)	oui (encodé)	oui (décodé, tableaux)
Profils	non	oui
`appRights` (liste complète)	non	oui
`features`	non	oui
`userLevel`	non	oui
`firstName`, `lastName`	non	oui
`lastLoginAt`	non	oui

Le JWT contient le minimum pour le routage et la vérification rapide des droits. /me contient tout le reste pour construire l'UI.

Aller plus loin

Cache et invalidation /me : quand appeler /me, mise en cache, invalidation
Contrôle d'accès : comment utiliser appRights dans vos guards
Utilisation de l'API : comment passer les tokens dans vos requêtes