feat: DEBUG_AUTH_TOKEN Bypass fuer Diagnose-Sessions auf dev

Wenn ENV `DEBUG_AUTH_TOKEN` gesetzt ist, akzeptieren require_auth + require_admin einen Header `X-Debug-Token: <secret>` oder einen Query-Param `?__debug_token=<secret>` und liefern einen Admin-Mock- User. Jeder Use wird mit logger.warning protokolliert. Default: leer = inaktiv (auch in prod, weil prod-compose das nicht durchreicht). Damit kann ein Diagnose-Tool (Playwright, curl) ohne Keycloak-Login auf admin-only-Endpoints zugreifen — fuer Browser-Console-Auswertung bei UI-Bugs. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-06 22:26:39 +02:00 · 2026-05-06 22:26:39 +02:00 · f8cfa42d9f
commit f8cfa42d9f
parent 60db39d5b3
2 changed files with 45 additions and 0 deletions
--- a/app/auth.py
+++ b/app/auth.py
@ -22,6 +22,7 @@ Usage in main.py:
 """

 import logging
+import os
 import time
 from typing import Optional

@ -97,6 +98,37 @@ def _extract_token(request: Request) -> Optional[str]:
    return request.cookies.get("access_token")


+def _check_debug_token(request: Request) -> Optional[dict]:
+    """Dev-Bypass: wenn ENV `DEBUG_AUTH_TOKEN` gesetzt ist und der Request
+    den passenden Header `X-Debug-Token` trägt, liefert die Funktion einen
+    Admin-Mock-User. Sonst None.
+
+    Default: leeres ENV → kein Bypass möglich, in prod inaktiv. Auf dev
+    erlaubt es Diagnose-Sessions ohne Keycloak-Login. Jeder Use wird
+    geloggt (warning), damit Bypass-Aktivität sichtbar bleibt.
+    """
+    expected = (os.environ.get("DEBUG_AUTH_TOKEN") or "").strip()
+    if not expected:
+        return None
+    presented = (request.headers.get("x-debug-token") or "").strip()
+    # Auch via Query-Param erlauben — für einmaligen Zugriff im Browser
+    if not presented:
+        presented = (request.query_params.get("__debug_token") or "").strip()
+    if presented and presented == expected:
+        client = request.client.host if request.client else "?"
+        logger.warning(
+            "DEBUG_AUTH_TOKEN bypass active — request from %s to %s",
+            client, request.url.path,
+        )
+        return {
+            "sub": "debug-user",
+            "email": "debug@local",
+            "name": "Debug-User",
+            "roles": ["admin", "gwoe-admin"],
+        }
+    return None
+
+
 async def _validate_token(token: str) -> Optional[dict]:
    """Validiere JWT gegen Keycloak-JWKS. Returns Payload oder None."""
    try:
@ -170,6 +202,10 @@ async def get_current_user(request: Request) -> Optional[dict]:
    if not _is_auth_enabled():
        return None

+    debug_user = _check_debug_token(request)
+    if debug_user:
+        return debug_user
+
    token = _extract_token(request)
    if not token:
        return None
@ -186,6 +222,10 @@ async def require_auth(request: Request) -> dict:
    if not _is_auth_enabled():
        return {"sub": "anonymous", "email": "", "name": "Dev-Modus", "roles": []}

+    debug_user = _check_debug_token(request)
+    if debug_user:
+        return debug_user
+
    token = _extract_token(request)
    if not token:
        raise HTTPException(
--- a/docker-compose.dev.yml
+++ b/docker-compose.dev.yml
@ -26,6 +26,11 @@ services:
      - GITEA_REPO_NAME=${GITEA_REPO_NAME:-gwoe-antragspruefer}
      - GITEA_FEEDBACK_LABELS=${GITEA_FEEDBACK_LABELS:-feedback,dev}
      - APP_ENV=dev
+      # Dev-Bypass für Diagnose-Sessions: wenn gesetzt, akzeptiert
+      # require_auth/require_admin einen Header `X-Debug-Token: <secret>`
+      # oder Query-Param `?__debug_token=<secret>` und liefert einen
+      # Admin-Mock-User. NUR auf dev. Default leer = inaktiv.
+      - DEBUG_AUTH_TOKEN=${DEBUG_AUTH_TOKEN:-}
    volumes:
      - ./data:/app/data
      - ./reports:/app/reports