shop-server/docs/superpowers/specs/2026-05-20-yandex-vk-oauth-design.md

# Yandex ID + VK ID OAuth — Design

## Цель

Подключить авторизацию через Яндекс ID и VK ID на клиенте (серверная часть OAuth уже реализована). Добавить поля профиля: имя, фамилия, пол, аватар. Админ продолжает входить только через email/код.

## Объём

### База данных

- Переименовать `User.name` → `User.displayName`
- Добавить поля: `firstName String?`, `lastName String?`, `gender String?`, `avatar String?`
- Сбросить БД (`prisma migrate reset --force`), прода нет

### Сервер

1. **`server/prisma/schema.prisma`** — обновить модель User
2. **`server/src/routes/oauth-social.js`** — обновить `findOrCreateUserFromOAuth()`:
   - Яндекс: сохранять `firstName`, `lastName`, `gender` (`sex`), `avatar` (`https://avatars.yandex.net/get-yapic/{default_avatar_id}/islands-200`), `displayName` ← `real_name` или `display_name`
   - VK: сохранять `firstName` (`first_name`), `lastName` (`last_name`), `gender` (`sex`: 1→female, 2→male), `avatar` (`photo_200`), `displayName` ← `first_name + ' ' + last_name`
   - Gender: если провайдер не вернул — оставлять `null`
3. **`server/src/routes/auth.js`** — обновить `mapUserForClient()`: добавить новые поля в ответ `/api/me`; переименовать `name` → `displayName`
4. **`server/src/**/*.js`** — найти и заменить все использования `user.name` на `user.displayName`
5. **`server/.env.example`** — документировать redirect URI для Яндекс и VK

### Клиент

1. **`client/src/shared/model/auth.ts`** — обновить тип `AuthUser`, добавить `displayName`, `firstName`, `lastName`, `gender`, `avatar`; убрать `name`
2. **`client/src/features/auth-oauth/`** — новая FSD-фича:
   - `lib/oauth-providers.ts` — конфигурация: `{ id, label, icon, color }` для yandex и vk
   - `ui/OAuthButtons.tsx` — компонент с двумя кнопками (Stack + Button variant="outlined"), каждая редиректит на `/api/auth/oauth/{provider}`
   - `index.ts` — barrel экспорт
3. **`client/src/pages/auth/ui/AuthPage.tsx`** — добавить `<OAuthButtons />` после формы email-кода, разделив Divider'ом с текстом «или»
4. **`client/src/**/*.tsx`** — найти и заменить все использования `user.name` → `user.displayName`

### ENV

Переменные в `server/.env` (из примера):

```
SERVER_PUBLIC_URL=http://127.0.0.1:3333
CLIENT_PUBLIC_URL=http://127.0.0.1:5173
YANDEX_CLIENT_ID=<значение>
YANDEX_CLIENT_SECRET=<значение>
VK_CLIENT_ID=<значение>
VK_CLIENT_SECRET=<значение>
```

Redirect URI для настройки в кабинетах провайдеров:
- Яндекс (локально): `http://127.0.0.1:3333/api/auth/oauth/yandex/callback`
- VK (локально): `http://127.0.0.1:3333/api/auth/oauth/vk/callback`
- Яндекс (прод): `https://любимыйкреатив.рф/api/auth/oauth/yandex/callback`
- VK (прод): `https://любимыйкреатив.рф/api/auth/oauth/vk/callback`

## Структура фичи `features/auth-oauth/`

```
features/auth-oauth/
  index.ts              — barrel: export { OAuthButtons }
  ui/
    OAuthButtons.tsx    — Stack из 2 кнопок (Яндекс, VK)
  lib/
    oauth-providers.ts  — массив провайдеров: { id, label, icon, color }
```

## Data flow (OAuth)

```
Клиент: кнопка «Войти через Яндекс/VK»
  → редирект на /api/auth/oauth/{yandex|vk}
Сервер: формирует state JWT, редиректит на Яндекс/VK
  → пользователь авторизуется у провайдера
  → провайдер редиректит на /api/auth/oauth/{yandex|vk}/callback
Сервер: обменивает code на токен → получает профиль → findOrCreateUserFromOAuth()
  → генерирует JWT → редиректит на {CLIENT_PUBLIC_URL}/auth/callback?token=<jwt>
Клиент: AuthCallbackPage читает token → сохраняет в localStorage → редирект на /
```

## Не входит в scope

- Отображение аватара в хедере/UserMenu (будет отдельно)
- Страница профиля с новыми полями (будет отдельно)
- OAuth для админа (админ только email/код)

## Примечания

- `gender` — nullable, если провайдер не вернул пол
- VK: `sex: 1` = female, `sex: 2` = male → нормализуем в `female` / `male`
- Яндекс: avatar — конструируем URL из `default_avatar_id`, поле `is_avatar_empty` подскажет, загружен ли аватар
- Яндекс scopes: `login:email login:info`
- VK scopes: `email`
- OAuth state — JWT с `expiresIn: 15m`