JAMflow-Cloud
diff --git a/‎content/en/1.auth-module/2.client-guide.md‎
Lines changed: 2 additions & 2 deletions b/‎content/en/1.auth-module/2.client-guide.md‎
Lines changed: 2 additions & 2 deletions
diff --git a/‎content/en/index.md‎
Lines changed: 3 additions & 2 deletions b/‎content/en/index.md‎
Lines changed: 3 additions & 2 deletions
diff --git a/‎content/it/1.auth-module/1.getting-started.md‎
Lines changed: 113 additions & 0 deletions b/‎content/it/1.auth-module/1.getting-started.md‎
Lines changed: 113 additions & 0 deletions
diff --git a/‎content/it/1.auth-module/2.client-guide.md‎
Lines changed: 133 additions & 0 deletions b/‎content/it/1.auth-module/2.client-guide.md‎
Lines changed: 133 additions & 0 deletions
@@ -2,8 +2,8 @@
 links:
   - label: Auth Service
     to: https://jamflow.cloud/auth-service
-title: "Auth Module: Client Guide"
-description: "JAMflow Authentication and Authorization"
+title: "Client Guide"
+description: "Authentication and Authorization on the client side"
 navigation:
   icon: i-lucide-chromium
 ---
 
@@ -12,7 +12,8 @@ seo:
 JAMflow Docs
 
 #description
-Find the documentation for JAMflow modules in Italian and English
+Find the documentation for JAMflow modules in Italian and English,   
+and start building your application today!
 ::
 
 ::u-page-section
@@ -28,7 +29,7 @@ Find the documentation for JAMflow modules in Italian and English
     Auth Module
 
     #description
-    User authentication and management module for JAMflow applications.
+    User authentication, authorization and management module for JAMflow applications.
 
 
     ```ts
 
@@ -0,0 +1,113 @@
+---
+links:
+  - label: Auth Service
+    to: https://jamflow.cloud/auth-service
+title: "Auth Module: Getting Started"
+description: "JAMflow Authentication and Authorization"
+navigation:
+  icon: i-lucide-user-lock
+---
+
+Jamflow Auth Module integra le applicazioni Nuxt con il Jamflow Auth Service. Centralizza l'autenticazione, l'appartenenza ai team e i controlli di permessi senza richiedere una connessione al database per ogni validazione. Invece, utilizza token JWT per ID, accesso e refresh emessi dall'Auth Service ed espone utility amichevoli sia sul client che sul server.
+
+Il modello dei permessi è ispirato a Google Zanzibar e permette di definire regole di controllo accessi molto dettagliate basate su ruoli utente, appartenenza a team e relazioni tra risorse.
+
+::u-
+
+::
+
+
+## Cosa ottieni
+
+- Bootstrap automatico della sessione durante SSR e idratazione SPA
+- Composables Vue tipizzati (`useUserSession`, `usePermissions`) per lavorare con token e permessi
+- Utility Nitro per verificare sessioni, proteggere route ed effettuare richieste service-to-service
+- Endpoint proxy (`/_auth-api/**`, `/.well-known/jwks.json`) per mantenere i cookie sul tuo dominio e evitare problemi CORS
+- Superficie di configurazione minima che si collega ai tenant dell'Auth Service gestiti dalla tua azienda
+
+## Quickstart
+
+Una volta ricevuto un deployment dell'Auth Service, puoi installare l'Auth Module nelle tue applicazioni Nuxt.
+
+1. Installa il modulo tramite il package manager preferito.
+2. Registralo in `nuxt.config.ts`:
+
+  ```ts
+  export default defineNuxtConfig({
+    modules: ['@jamflow/auth-module'],
+    auth: {
+      issuer: 'https://<YOUR-PROJECT>.auth.jamflow.app',
+      audience: 'https://your-project.com',
+    },
+  })
+  ```
+
+3. Assicurati che l'ambiente permetta di impostare cookie sicuri per l'host che serve la tua app Nuxt.
+4. Usa la [Guida client](./client-guide.md) e la [Guida server](./server-guide.md) fornite per collegare i flussi utenti.
+
+## Modello dei token
+
+L'Auth Service emette tre cookie:
+
+| Token | Cookie di default | Scopo |
+| --- | --- | --- |
+| ID token | `j_id_token` | Identifica l'utente autenticato (nome, email, team, ecc.).
+| Access token | `j_access_token` | Trasporta stringhe di permessi serializzate per l'autorizzazione.
+| Refresh token | `j_refresh_token` | Permette di rinnovare ID/access token senza riautenticazione.
+
+Il modulo verifica i token usando il documento JWKS esposto dal tuo Auth Service. La verifica è automatica e la chiave viene messa in cache per un'ora.
+
+## Architettura a colpo d'occhio
+
+::Mermaid
+```
+flowchart LR
+  subgraph Browser
+    A[Vue component]
+  end
+  subgraph NuxtApp[Nuxt Nitro]
+    B[useUserSession]
+    C[usePermissions]
+    D[/requireUserSession, requireUserPermission/]
+    E[Proxy routes]
+  end
+  subgraph AuthService
+    F["/api/auth/*" endpoints]
+    G["/.well-known/jwks.json"]
+  end
+
+  A --> B
+  A --> C
+  B & C --> E --> F
+  D --> E
+  E --> G
+```
+::
+
+- I composables client parlano sempre a `/_auth-api/...`, che fa da proxy verso `${issuer}/api/...`.
+- Le utility server fanno lo stesso e inoltre mettono in cache i token decodificati nel contesto `H3Event` per il riutilizzo.
+- Le chiavi JWKS sono proxate tramite `/.well-known/jwks.json` per evitare richieste cross-origin dal browser.
+
+## Riferimento di configurazione
+
+| Opzione | Variabile d'ambiente | Descrizione |
+| --- | --- | --- |
+| `auth.issuer` | `NUXT_PUBLIC_AUTH_ISSUER` | URL base del deployment del tuo Auth Service. Obbligatorio.
+| `auth.audience` | `NUXT_PUBLIC_AUTH_AUDIENCE` | Audience attesa per gli access token. Obbligatorio.
+| `auth.jwksUrl` | `NUXT_PUBLIC_AUTH_JWKS_URL` | Percorso al documento JWKS. Di default `/.well-known/jwks.json`.
+| `auth.idToken.name` | `NUXT_PUBLIC_AUTH_ID_TOKEN_NAME` | Nome del cookie per l'ID token. Di default `j_id_token`.
+| `auth.accessToken.name` | `NUXT_PUBLIC_AUTH_ACCESS_TOKEN_NAME` | Nome del cookie per l'access token. Di default `j_access_token`.
+| `auth.refreshToken.name` | `NUXT_AUTH_REFRESH_TOKEN_NAME` | Nome del cookie per il refresh token. Di default `j_refresh_token`.
+| `auth.refreshToken.expiresIn` | `NUXT_AUTH_REFRESH_TOKEN_EXPIRES_IN` | Scadenza (in secondi) usata per valutare la longevità del refresh token.
+| `auth.apiToken` | `NUXT_AUTH_API_TOKEN` | Token macchina per l'accesso all'API dell'Auth Service (usato da `createInvite`).
+
+## Checklist per lo sviluppo usando il modulo
+
+1. Configura i valori runtime tramite variabili d'ambiente in file `.env` o segreti di deploy.
+2. Conferma che i cookie siano emessi con gli attributi `Secure` e `SameSite` attesi per il tuo scenario di hosting.
+3. Decidi come l'interfaccia gestisce i fallimenti di permesso (redirect vs. stato vuoto).
+
+## Per saperne di più
+
+- [Guida client](/it/auth-module/client-guide.md) – lavorare con i composables, i flussi di login e i permessi in Vue.
+- [Guida server](/it/auth-module/server-guide.md) – utility Nitro, guardie per i permessi e helper di servizio.
@@ -0,0 +1,133 @@
+---
+links:
+  - label: Auth Service
+    to: https://jamflow.cloud/auth-service
+title: "Client Guide"
+description: "Autenticazione e autorizzazione sul lato client"
+navigation:
+  icon: i-lucide-chromium
+---
+
+Questo modulo fornisce una serie di composables Vue e plugin Nuxt che facilitano l'integrazione con Jamflow Auth Service nelle applicazioni Nuxt. Qui trovi i principali strumenti lato client, come comunicano con il backend Auth e come integrarli nella tua app.
+
+::warning
+**Prerequisiti**
+
+- Il tuo contratto deve includere un'istanza di Auth Service.
+- Il modulo deve essere registrato in `nuxt.config.ts` e configurato con almeno `issuer` e `audience`.
+- I cookie per ID, access e refresh token sono gestiti automaticamente dal modulo; assicurati che il tuo ambiente di deploy non li blocchi.
+::
+
+## Bootstrap della sessione
+
+Due plugin Nuxt si occupano di mantenere la sessione aggiornata durante navigazione e idratazione:
+
+- `session.server`: viene eseguito prima del render sul server. Popola il payload con una flag `isCached` e, quando la richiesta è renderizzata al volo, chiama `useUserSession().fetch()` per decodificare gli ID e access token più recenti.
+- `session.client`: viene eseguito sul client durante l'idratazione. Se la pagina è stata consegnata da cache del payload o da prerendering statico, recupera la sessione dopo il mount dell'app per evitare dati obsoleti.
+
+Non è necessario importare manualmente questi plugin: vengono registrati automaticamente all'installazione del modulo.
+
+## `useUserSession()`
+
+`useUserSession` è il composable principale esposto dal modulo. Si occupa di rinfrescare i cookie in modo trasparente, comunicare con le route proxy del server e fornire uno stato reattivo per l'utente autenticato.
+
+```ts
+const {
+  user,       // Computed<IDTokenClaims | null>
+  access,     // Computed<AccessTokenClaims | null>
+  loggedIn,   // Computed<boolean>
+  login,
+  requestAccess,
+  fetch,
+  refresh,
+  clear,
+} = useUserSession()
+```
+
+### Accesso allo stato
+
+- `user`: claim dell'ID token (sub, email, team, ecc.). `null` quando il visitatore è anonimo o il token non è verificabile.
+- `access`: claim dell'access token, inclusi i codici di permesso serializzati usati da `usePermissions`.
+- `loggedIn`: booleano di comodo derivato da `user`.
+
+### Azioni
+
+- `login(email, password)`: Chiama `/_auth-api/auth/login`, imposta i cookie, recupera i permessi di accesso e risolve quando la sessione è pronta.
+- `requestAccess(teamId?)`: Richiede manualmente un access token aggiornato per l'utente corrente. Utile quando si cambia contesto team.
+- `fetch()`: Rilegge i cookie, valida i token contro il JWKS e aggiorna lo stato locale. Di solito non serve chiamarla direttamente perché i plugin la gestiscono.
+- `refresh()`: Usa l'endpoint di refresh per ottenere nuovi ID e access token.
+- `clear()`: Disconnette l'utente cancellando i cookie tramite `/_auth-api/auth/session` e resettando lo stato in memoria.
+
+### Uso nei diversi contesti di fetch
+
+Il composable seleziona automaticamente tra `$fetch` client e `$fetch` request-scoped sul server. Questo è importante quando si scrivono plugin o middleware personalizzati: lo stesso codice funziona in componenti, route server e handler Nitro senza configurazioni aggiuntive.
+
+## Gestire i permessi con `usePermissions()`
+
+I permessi sono codificati nell'access token come codici brevi (es. `@blog:cru` per create/read/update globali sul topic `blog`). `usePermissions` traduce queste stringhe in una struttura dati descrittiva e fornisce helper per proteggere UI e pagine.
+
+```ts
+const { permissions, hasPermission, pagePermission } = usePermissions()
+```
+
+- `permissions`: oggetto computed di tipo `DecryptedPermissions` che separa gli ambiti `team` e `global`.
+- `hasPermission(check)`: Restituisce `true` se l'access token corrente concede tutte le azioni richieste per uno specifico topic. Imposta `check.team = true` per valutare i permessi a livello di team; altrimenti si controlla l'ambito globale.
+- `pagePermission(check, { redirect? })`: Restituisce l'oggetto `ResourcePermissions` completo per il topic. Se l'utente non ha accesso puoi abilitare un redirect (di default `'/'`). Senza redirect restituisce un oggetto con tutte le azioni a `false`, utile per renderizzare uno stato di avviso.
+
+### Esempio: proteggere una pagina
+
+```vue
+const { pagePermission } = usePermissions()
+
+<script setup lang="ts">
+const blogPerms = await pagePermission({
+  topic: 'blog-posts',
+  actions: ['read'],
+})
+</script>
+
+<template>
+  <section v-if="blogPerms.read">
+    <!-- Contenuto protetto -->
+  </section>
+  <NuxtErrorBoundary v-else>
+    <p>Non hai ancora accesso ai post del blog.</p>
+  </NuxtErrorBoundary>
+</template>
+```
+
+### Esempio: abilitare/disabilitare controlli UI
+
+```vue
+<script setup lang="ts">
+const { hasPermission } = usePermissions()
+
+const canPublish = computed(() => hasPermission({
+  topic: 'blog-posts',
+  actions: ['execute'],
+}))
+</script>
+
+<template>
+  <UButton :disabled="!canPublish">Publish</UButton>
+</template>
+```
+
+## Ciclo di vita dei token
+
+- I cookie vengono aggiornati automaticamente ad ogni chiamata a `fetch()` e `refresh()` tramite l'helper `refreshCookie` di Nuxt.
+- Quando un access token è scaduto, `useUserSession` richiede trasparentemente uno nuovo e propaga gli header Set-Cookie dall'API al browser.
+- Le chiavi JWKS vengono memorizzate in memoria per fino a un'ora per ridurre traffico di rete inutile.
+
+## Risoluzione dei problemi
+
+| Sintomo | Probabile causa | Soluzione |
+| --- | --- | --- |
+| `useUserSession().user` è sempre `null` | `issuer` / `audience` runtime mancanti o non validi | Verifica `nuxt.config` e le variabili d'ambiente. |
+| Il login riesce ma i permessi sono vuoti | Access token non richiesto o codici permesso non configurati server-side | Assicurati che `requestAccess()` venga chiamato dopo il login e che l'Auth Service emetta i permessi. |
+| Le navigazioni client perdono la sessione | Cookie bloccati dal dominio o mismatch degli attributi secure | Controlla l'URL base del deploy e la configurazione dei cookie nel servizio. |
+
+## Passi successivi
+
+- Consulta la [Guida server](/it/auth-module/server-guide.md) per le utility Nitro da usare nelle route API.
+- Fai attenzione alla scadenza dei token in tab mantenute a lungo; valuta di chiamare periodicamente `useUserSession().refresh()` se la tua UX lo richiede.