# Auth and Login Development Log

Decizii despre autentificare, OTP, sesiuni, formulare si compatibilitate cu password managere/autofill.

Regula de development: orice operatie UI care poate ajunge la `save`/`submit` trebuie sa verifice starea de autentificare inainte ca operatorul sa inceapa editarea si din nou imediat inainte de salvare. Aceeasi regula se aplica la schimbarea taburilor/sectiunilor, pentru ca navigarea poate declansa incarcari sau actiuni protejate.

Comportamentul asteptat:

- daca sesiunea este valida, fluxul continua normal

- daca sesiunea lipseste sau a expirat, aplicatia revine coerent la login

- datele deja introduse intr-un formular nu trebuie resetate doar pentru ca autentificarea a expirat inainte de save

Scop:

- evitarea pierderii modificarilor locale din formulare

- separarea clara intre erori de validare si sesiune expirata

- evitarea operatiunilor partiale pe endpoint-uri protejate

Observatie: unele password managere si autofill-uri mobile nu initiau corect pe login-ul Madagascar Local Authority, desi completarea mergea pe o pagina similara din PBX management.

Diferente relevante observate pe pagina care functiona:

- formular clasic `method="post"`

- camp de cont cu `autocomplete="username"`

- camp unic pentru codul OTP, separat de cele 6 casute vizuale

Decizie:

- UI-ul ramane cu 6 casute OTP

- formularul include si campuri ajutatoare off-screen pentru `username` si OTP agregat

- JS sincronizeaza codul complet intre campul agregat si cele 6 casute

- formularul pastreaza `autocomplete="on"` la nivel de form, ca hint-urile specifice de pe campuri sa nu fie neutralizate

Scop:

- compatibilitate mai buna cu password managere si autofill mobil

- fara a complica interfata vizibila