Zimin A.N. 7e435e07b7 feat(auth): миграция oidc-client-ts → keycloak-js (altum-pattern)
Phase 1a из плана: только swap библиотеки, realm/URL остаются на
auth.nstart.space/realms/nstart. Phase 2 (intgr с altum auth-service)
— отдельный эпик.

Зачем. oidc-client-ts с automaticSilentRenew триггерил бесконечный
POST /token loop когда refresh_token истекал (см. MR !269 revert,
~30+ 400'к в console, страница залипала на 403). Altum давно ушёл
с oidc-client-ts на keycloak-js по той же причине.

Новая модель.
- src/lib/keycloak.ts — singleton + initKeycloak(check-sso, PKCE) +
  ensureFreshToken(N) wrapper над kc.updateToken(). Зеркало
  altum/src/lib/keycloak.ts.
- src/stores/authStore.ts — Zustand store: {user, isAuthenticated,
  isLoading, error}. checkAuth() ждёт initKeycloak, wireKeycloakEvents()
  → onAuthSuccess/Refresh/Logout/TokenExpired re-снэпшотят store.
- src/auth/useAuth.ts — compat shim для react-oidc-context API
  (auth.user.profile, isAuthenticated, signinSilent, signinRedirect,
  signoutRedirect, removeUser, error). Все 11 callsites продолжают
  работать без правок (только сменили путь import'а).
- src/api/client.ts — request interceptor дёргает ensureFreshToken(30)
  ПЕРЕД каждым запросом + attaches Bearer ${getToken()}. 401 interceptor
  делает ensureFreshToken(0) + retry один раз. Никаких таймеров, никаких
  setAccessToken/setUnauthorizedHandler holder'ов — keycloak-js сам source
  of truth.
- src/main.tsx — убран <AuthProvider>, <TokenSync />. Просто
  useAuthStore.getState().checkAuth() на старте, потом обычный render.
- public/silent-check-sso.html — endpoint для silentCheckSsoRedirectUri.

Удалены.
- src/auth/TokenSync.tsx — не нужен, ensureFreshToken на запросах.
- src/auth/oidcConfig.ts — не нужен, конфиг внутри lib/keycloak.ts.
- npm deps: react-oidc-context, oidc-client-ts.

Добавлены deps: keycloak-js@26.2.4, zustand@5.0.13.

Tests: 171/171 passed, TSC чистый.

Migration callsites — все unchanged по семантике благодаря compat shim.
2026-05-26 11:18:30 +03:00
2026-05-03 23:06:24 +03:00

Ordinis

MDM сервис для НСИ ЦУОД ОДХ (Оперативное и Долговременное Хранение). Часть линейки Terravault. Ордо/порядок (от лат. ordo) — упорядоченные классификаторы и справочные данные.

ЦУОД — anchor-клиент v1, второй клиент = свой config bundle, без code change.

Maven multimodule

ordinis/
├── ordinis-domain              JPA entities, JSONB types, bitemporal model
├── ordinis-validation          JSON Schema validator (networknt)
├── ordinis-events-api          DTO для Kafka (semver shared module)
├── ordinis-outbox              Outbox pattern + @Scheduled poller
├── ordinis-rest-api            Admin write API (CRUD, bundle import)
├── ordinis-app                 Spring Boot main: writer side
├── ordinis-read-api            Read service (PG replica + scope filtering)
├── ordinis-projection-writer   Опц.: Kafka → Redis projection (feature-flagged)
├── ordinis-cuod-bundle         ЦУОД config: JSON Schema, seed, Grafana dashboards
└── ordinis-migrations          Liquibase changelogs → Helm pre-upgrade Job (1-shot)

Стек

  • Java 21, Spring Boot 3.4
  • PostgreSQL 18 + PostGIS 3.6 + btree_gist (EXCLUSION CONSTRAINT)
  • Apache Kafka 4.2 (KRaft, SASL SCRAM-SHA-512)
  • Hibernate Envers (tx-time) + valid_from/valid_to (effective-time) — bitemporal
  • Liquibase
  • Spring Cloud Config + Spring Cloud Vault (Kubernetes auth)
  • Micrometer + Prometheus
  • LogstashEncoder JSON stdout → Loki через Alloy
  • OpenTelemetry → Tempo (OTLP gRPC)

Архитектурные принципы

  • Generic dictionary engine + ЦУОД config bundle (Approach B). Engine не знает про "КА"/"наземные станции" — узнаёт через JSON Schema из bundle
  • Bitemporal: Envers для tx-time + valid_from/valid_to для effective-time + EXCLUSION CONSTRAINT
  • 3 scope-топика Kafka (public/internal/restricted) — изоляция через ACL, не через filter в consumer
  • System boundary: 3 deployable делят БД (master+replica). Внешние consumers — только REST/Kafka, никогда прямо в БД
  • Tiered performance: 1k RPS из коробки (PG replica + Caffeine). 10k+ RPS включается per-dictionary через Redis projection
  • Audit log в БД (compliance), технические логи в Loki

Build

mvn clean install        # все модули
mvn -pl ordinis-app -am package -DskipTests  # только app + transitive
docker build -f ordinis-app/Dockerfile -t ordinis-app:0.1.0 .
docker build -f ordinis-migrations/Dockerfile -t ordinis-migrations:0.1.0 ordinis-migrations/

Связанные репо

S
Description
No description provided
Readme 3.2 MiB
Languages
TypeScript 49.7%
Java 43.7%
HTML 5.5%
CSS 0.7%
Dockerfile 0.3%