Update: 2026-06-16 01:17:28

backend/serviceapp/login.php

@@ -108,11 +108,11 @@ try {
             // توليد مفتاح HMAC فريد للمستخدم (للتوافق مع CRUD الجديد)
             $hmacKey = hash_hmac('sha256', (string)$user['id'], getenv('SECRET_KEY_HMAC'));
 
+                // ✅ FIX H-05: لا نعيد مفتاح HMAC أبداً (يُحسب على العميل بنفس المعادلة)
             printSuccess([
                 "message" => "Login successful",
                 "data" => $user,
                 "jwt" => $jwt,
-                "hmac" => $hmacKey,
                 "expires_in" => $expires_in
             ]);
 
@@ -124,8 +124,10 @@ try {
         jsonError("الجهاز أو الحساب غير مسجل. يرجى إدخال البريد الإلكتروني وكلمة المرور إذا كان هذا أول تسجيل دخول لك.");
     }
 } catch (Exception $e) {
-    error_log("[ServiceApp Login Error] " . $e->getMessage());
-    jsonError("Server error: " . $e->getMessage());
+    // ✅ FIX M-02: إخفاء تفاصيل الخطأ في الإنتاج
+    $debugMode = getenv('APP_DEBUG') === 'true';
+    securityLog("[ServiceApp Login Error]", ['msg' => $e->getMessage()]);
+    jsonError($debugMode ? "Server error: " . $e->getMessage() : "Server error. Please try again later.", 500);
 }
 
 exit();