till/zitare-native
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

feat: app.zitare.com + api.zitare.com URLs für Cutover 2026-05-20

Browse source 
Native-Konstanten ziehen mit dem Web-Cutover zu .zitare.com-
Subdomains nach. Universal-Link-AASA-Liste enthält jetzt zitare.com
+ app.zitare.com (zitare.mana.how raus). webBaseURL ist jetzt das
echte publicWebURL (zitare.com), wie ursprünglich geplant.

CookieBridge bleibt Skeleton — die `.mana.how`-Cookie-Domain-
Strategie greift nicht für `.zitare.com`. Hinweis im Kommentar
gesetzt, Update vor ζ-3 nötig.

Code-Only. Erst nach nächstem Native-Build/TestFlight-Upload live.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
Till JS 2026-05-20 14:34:03 +02:00
parent 8b572329fc
commit a4ea32b637
6 changed files with 45 additions and 48 deletions
Download patch file Download diff file Expand all files Collapse all files

15
Sources/Core/WebShell/CookieBridge.swift
View file

@ -3,7 +3,7 @@ import ManaCore
import WebKit
/// Reicht den mana-auth-JWT als Cookie an den `WKWebView` weiter, sodass
/// eingeloggte `(app)`-Routen auf `zitare.mana.how` ohne zweiten Login
/// eingeloggte `(app)`-Routen auf `app.zitare.com` ohne zweiten Login
/// erreichbar sind.
///
/// **Phase ζ-1: Skeleton.** Methoden existieren, werden aber heute
@ -13,14 +13,19 @@ import WebKit
/// *echten* mana-auth-Token End-to-End getestet sein (Verifikations-
/// Lücke in `zitare/STATUS.md`).
///
/// **Phase ζ-3:** wird in `SubmitQuoteView` benutzt vor dem POST
/// gegen `zitare-api.mana.how` und vor dem Öffnen von
/// `zitare.mana.how/me` im WebView.
/// **Cross-Domain-Hinweis 2026-05-20:** Mana-Auth setzt den Cookie
/// auf `.mana.how`. Seit dem Zitare-Cutover auf `app.zitare.com`
/// kann dieser Cookie nicht mehr direkt geteilt werden. Der WebView-
/// Auth-Pfad braucht stattdessen Bearer-Token-Injection (siehe
/// Web-App `apps/zitare/src/lib/auth.ts` Pattern: Cross-Origin
/// /refresh gegen auth.mana.how mit credentials:include) oder ein
/// dediziertes Cookie auf `.zitare.com` via mana-auth-Erweiterung.
/// Diese Klasse ist noch nicht angepasst Update kommt vor ζ-3.
///
/// **Cookie-Schema** (gespiegelt zu mana-auth, siehe
/// `mana/services/mana-auth/src/auth/cookies.ts`):
/// - Name: `mana.access` (JWT) und optional `mana.refresh` (Opaque)
/// - Domain: `.mana.how` (App-Surface; **nicht** `.com`)
/// - Domain: `.mana.how` (greift heute nicht für `.zitare.com`)
/// - Path: `/`
/// - Secure: true, HTTPOnly: false (WebView muss lesen können),
/// SameSite: Lax