v1.1.1 — Session-Token statt JWT für Account-Calls

Wire-Konvention für authenticated Account-Endpoints (changeEmail, changePassword, deleteAccount) geklärt. Server-seitig wurde in mana-auth Better Auths bearer-Plugin aktiviert (requireSignature: false), das Session-Tokens zu Session-Cookies konvertiert. Native- Apps senden daher jetzt den Session-Token (refreshToken-Feldwert) statt des JWT als Authorization: Bearer für diese drei Endpoints. Der JWT bleibt für app-eigene Backends (memoro-api, cardecky-api, manaspur-api) der richtige Authorization-Header — die Trennung ist nur für mana-auth interne Endpoints. currentSessionToken() als public Helper hinzu (symmetrisch zu currentAccessToken). 38/38 Tests grün. 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-13 19:35:57 +02:00 · 2026-05-13 19:35:57 +02:00 · 3459c78731
commit 3459c78731
parent 716509e10e
4 changed files with 68 additions and 16 deletions
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@ -4,6 +4,36 @@ Alle Änderungen werden hier dokumentiert. Format orientiert an
 [Keep a Changelog](https://keepachangelog.com), Versionierung nach
 [Semver](https://semver.org).

+## [1.1.1] — 2026-05-13
+
+Patch — Wire-Konvention für authenticated Account-Calls geklärt.
+
+### Geändert
+
+- `AuthClient.changeEmail`, `changePassword`, `deleteAccount` senden
+  jetzt den Session-Token (`refreshToken`-Feldwert) statt des JWT als
+  `Authorization: Bearer`. Hintergrund: Server-seitig wurde in
+  `mana-auth` Better Auths `bearer`-Plugin aktiviert
+  (`requireSignature: false`), das Session-Tokens zu Session-Cookies
+  konvertiert. Damit funktionieren `auth.api.changeEmail` etc. für
+  Native-Apps ohne Cookie-Container.
+- `AuthClient.currentSessionToken()` als public Helper hinzu. Symmetrisch
+  zu `currentAccessToken()`.
+
+### Trade-Off bewusst akzeptiert
+
+Session-Token wird bei jedem Account-Call versendet (vorher nur beim
+`/refresh`). Mit TLS-Baseline akzeptables Risiko; Compromise-Surface
+nicht relevant größer als JWT-Leak. Alternative wäre ein Custom-
+Bearer-JWT-to-Cookie-Resolver im Server (40+ Zeilen Hono-Middleware,
+HMAC-Cookie-Synthese) — bewusst nicht gewählt, weil der bearer-Plugin
+genau für diesen Use-Case existiert.
+
+### Tests
+
+- Test `changePassword schickt Bearer-Header` umbenannt auf
+  `schickt Session-Token als Bearer (nicht JWT)` und geupdated.
+
 ## [1.1.0] — 2026-05-13

 Phase 1 aus dem Native-Auth-Vollausbau-Plan (Option A — alles nativ,