Architecture — Communication à double plan

OxideTerm sépare les données du terminal des commandes de contrôle en deux plans indépendants :

┌─────────────────────────────────────┐
│        Frontend (React 19)          │
│  xterm.js 6 (WebGL) + 19 stores     │
└──────────┬──────────────┬───────────┘
           │ Tauri IPC    │ WebSocket (binaire)
           │ (JSON)       │ port par session
┌──────────▼──────────────▼───────────┐
│         Backend (Rust)              │
│  NodeRouter → SshConnectionRegistry │
│  Wire Protocol v1                   │
│  [Type:1][Length:4][Payload:n]      │
└─────────────────────────────────────┘

• Plan de données (WebSocket) : chaque session SSH obtient son propre port WebSocket. Les octets du terminal circulent sous forme de trames binaires avec un en-tête Type-Length-Payload — aucune sérialisation JSON, aucun encodage Base64, zéro surcharge sur le chemin critique.
• Plan de contrôle (Tauri IPC) : gestion des connexions, opérations SFTP, redirections, configuration — JSON structuré, mais hors du chemin critique.
• Adressage par nœud : le frontend ne touche jamais sessionId ni connectionId. Tout est adressé par nodeId, résolu atomiquement côté serveur par le NodeRouter. La reconnexion SSH modifie le connectionId sous-jacent — mais SFTP, IDE et redirections ne sont absolument pas affectés.

🔩 SSH pur Rust — russh 0.59

L'intégralité de la pile SSH est russh 0.59 compilée avec le backend cryptographique ring :

• Zéro dépendance C/OpenSSL — toute la pile crypto est en Rust. Plus de débogage « quelle version d'OpenSSL ? ».
• Protocole SSH2 complet : échange de clés, canaux, sous-système SFTP, redirection de ports
• Suites de chiffrement ChaCha20-Poly1305 et AES-GCM, clés Ed25519/RSA/ECDSA
• AgentSigner personnalisé : encapsule le SSH Agent système et implémente le trait Signer de russh, résolvant les problèmes de bornes Send RPITIT en clonant &AgentIdentity vers une valeur possédée avant de traverser .await

pub struct AgentSigner { /* wraps system SSH Agent */ }
impl Signer for AgentSigner { /* challenge-response via Agent IPC */ }

• Support plateforme : Unix (SSH_AUTH_SOCK), Windows (\\.\pipe\openssh-ssh-agent)
• Chaînes proxy : chaque saut utilise indépendamment l'authentification Agent
• Reconnexion : AuthMethod::Agent rejoué automatiquement

🔄 Reconnexion intelligente avec période de grâce

La plupart des clients SSH détruisent tout à la déconnexion et repartent de zéro. L'orchestrateur de reconnexion d'OxideTerm adopte une approche fondamentalement différente :

1. Détection du timeout heartbeat WebSocket (300 s, calibré pour macOS App Nap et le throttling des timers JS)
2. Snapshot de l'état complet : panneaux terminal, transferts SFTP en cours, redirections de ports actives, fichiers IDE ouverts
3. Sondage intelligent : événements visibilitychange + online déclenchent un keepalive SSH proactif (~2 s de détection contre 15–30 s en timeout passif)
4. Période de grâce (30 s) : sonde l'ancienne connexion SSH via keepalive — si elle se rétablit (ex. : changement de point d'accès WiFi), vos applications TUI (vim, htop, yazi) survivent intégralement
5. En cas d'échec de récupération → nouvelle connexion SSH → restauration automatique des redirections → reprise des transferts SFTP → réouverture des fichiers IDE

Pipeline : queued → snapshot → grace-period → ssh-connect → await-terminal → restore-forwards → resume-transfers → restore-ide → verify → done

Toute la logique passe par un ReconnectOrchestratorStore dédié — zéro code de reconnexion dispersé dans les hooks ou composants.

🛡️ Pool de connexions SSH

SshConnectionRegistry à comptage de références s'appuyant sur DashMap pour un accès concurrent sans verrou :

• Une connexion, plusieurs consommateurs : terminal, SFTP, redirections de ports et IDE partagent une seule connexion SSH physique — pas de handshakes TCP redondants
• Machine à états par connexion : connecting → active → idle → link_down → reconnecting
• Gestion du cycle de vie : délai d'inactivité configurable (5 min / 15 min / 30 min / 1 h / jamais), intervalle keepalive de 15 s, détection de défaillance heartbeat
• Heartbeat WsBridge : intervalle de 30 s, timeout de 5 min — tolère macOS App Nap et le throttling JS du navigateur
• Propagation en cascade : défaillance de l'hôte de saut → tous les nœuds en aval automatiquement marqués link_down avec synchronisation du statut
• Déconnexion en inactivité : émet connection_status_changed vers le frontend (pas seulement un node:state interne), empêchant la désynchronisation de l'interface

🤖 OxideSens AI

Assistant IA axé sur la confidentialité avec deux modes d'interaction :

• Panneau inline (⌘I) : commandes terminal rapides, sortie injectée via bracketed paste
• Chat latéral : conversations persistantes avec historique complet
• Contexte de workspace orienté cible : voit les connexions enregistrées, sessions SSH actives, buffers de terminal, chemins SFTP, paramètres et entrées de base de connaissances comme des cibles du workspace
• Actions approuvées : peut diagnostiquer la sortie distante, exécuter des commandes approuvées, inspecter des fichiers et expliquer les échecs sans nécessiter de compte OxideTerm
• Support MCP : connexion à des serveurs Model Context Protocol externes (stdio & SSE) pour l'intégration d'outils tiers
• Base de connaissances RAG (v0.20) : importez des documents Markdown/TXT dans des collections ciblées (globales ou par connexion). La recherche hybride fusionne index de mots-clés BM25 + similarité cosinus vectorielle via Reciprocal Rank Fusion. Découpage Markdown préservant la hiérarchie des titres. Tokenizer bigramme CJK pour chinois/japonais/coréen.
• Fournisseurs : OpenAI, Ollama, DeepSeek, OneAPI, ou tout endpoint /v1/chat/completions
• Sécurité : clés API stockées dans le trousseau OS ; sur macOS, la lecture des clés est protégée par Touch ID via LAContext — aucun entitlement ni signature de code requis, mis en cache après la première authentification par session

Redirection de ports — I/O sans verrou

Redirection locale (-L), distante (-R) et dynamique SOCKS5 (-D) complète :

• Architecture par passage de messages : le canal SSH est détenu par une seule tâche ssh_io — pas de Arc<Mutex<Channel>>, éliminant totalement la contention mutex
• Rapport d'arrêt : les tâches de redirection signalent activement la raison de sortie (déconnexion SSH, fermeture du port distant, timeout) pour un diagnostic clair
• Restauration automatique : les redirections Suspended reprennent automatiquement à la reconnexion sans intervention utilisateur
• Délai d'inactivité : FORWARD_IDLE_TIMEOUT (300 s) empêche l'accumulation de connexions zombies

📦 trzsz — Transfert de Fichiers Intégré

Uploadez et téléchargez des fichiers directement via la session SSH — sans connexion SFTP :

• Protocole intégré : les fichiers transitent sous forme de trames Base64 dans le flux terminal existant — fonctionne de manière transparente à travers les chaînes ProxyJump et tmux sans port ni agent supplémentaire
• Bidirectionnel : le serveur exécute tsz <fichier> pour envoyer des fichiers au client ; trz déclenche l'upload côté client ; glisser-déposer supporté
• Support des répertoires : transferts récursifs via trz -d / tsz -d
• Limites de transfert : limites configurables par session pour la taille des blocs, le nombre de fichiers et le total en octets
• I/O Tauri native : lectures et écritures de fichiers via les boîtes de dialogue natives de Tauri et Rust I/O — sans contrainte mémoire du navigateur
• Notifications en direct : notifications Toast pour le démarrage, la complétion, l'annulation et les erreurs — y compris un indice quand trzsz est détecté mais la fonctionnalité est désactivée
• Activer dans Paramètres → Terminal → Transfert Intégré

🔌 Système de plugins en runtime

Chargement ESM dynamique avec une surface API gelée et renforcée en sécurité :

• API PluginContext : 18 espaces de noms — terminal, ui, commands, settings, lifecycle, events, storage, system
• 24 composants UI Kit : composants React préconstruits (boutons, champs de saisie, dialogues, tableaux…) injectés dans les sandboxes de plugins via window.__OXIDE__
• Membrane de sécurité : Object.freeze sur tous les objets de contexte, ACL basée sur Proxy, liste blanche IPC, disjoncteur avec désactivation automatique après erreurs répétées
• Modules partagés : React, ReactDOM, zustand, lucide-react exposés pour utilisation par les plugins sans duplication de bundles

⚡ Rendu adaptatif

Planificateur de rendu à trois niveaux remplaçant le batching fixe requestAnimationFrame :

Les transitions sont entièrement automatiques — pilotées par le volume de données, les entrées utilisateur et l'API Page Visibility. Les onglets en arrière-plan continuent de vider les données via le timer d'inactivité sans réveiller RAF.

🔐 Export chiffré .oxide

Sauvegarde de connexion portable et inviolable :

• Chiffrement authentifié ChaCha20-Poly1305 AEAD
• KDF Argon2id : coût mémoire de 256 Mo, 4 itérations — résistant au brute-force GPU
• Somme de contrôle d'intégrité SHA-256
• Intégration optionnelle de clés : clés privées encodées en base64 dans la charge utile chiffrée
• Analyse préalable : ventilation des types d'authentification, détection des clés manquantes avant l'export

📡 ProxyJump — Multi-saut avec conscience topologique

• Profondeur de chaîne illimitée : Client → Saut A → Saut B → … → Cible
• Analyse automatique de ~/.ssh/config, construction du graphe topologique, algorithme de Dijkstra pour la route optimale
• Nœuds de saut réutilisables comme sessions indépendantes
• Propagation de défaillance en cascade : hôte de saut en panne → tous les nœuds en aval automatiquement marqués link_down

⚙️ Terminal local — PTY thread-safe

Shell local multiplateforme via portable-pty 0.8, protégé par le feature gate local-terminal :

• MasterPty enveloppé dans std::sync::Mutex — des threads d'E/S dédiés gardent les lectures PTY bloquantes hors de la boucle d'événements Tokio
• Détection automatique du shell : zsh, bash, fish, pwsh, Git Bash, WSL2
• cargo build --no-default-features supprime le PTY pour les builds mobiles/légers

🪟 Optimisation Windows

• ConPTY natif : invoque directement l'API Windows Pseudo Console — support complet TrueColor et ANSI, pas de WinPTY obsolète
• Scanner de shells : détecte automatiquement PowerShell 7, Git Bash, WSL2, CMD via le Registre et le PATH

Et plus encore

• Mode IDE : CodeMirror 6 via SFTP, 24 langages, arborescence avec statut Git, multi-onglets, résolution de conflits — agent distant optionnel (~1 Mo) pour des fonctionnalités améliorées sur Linux
• Profileur de ressources : CPU/mémoire/réseau en direct via canal SSH persistant lisant /proc/stat, calcul basé sur les deltas, dégradation automatique vers RTT-only sur les systèmes non-Linux
• Moteur de thèmes personnalisé : 30+ thèmes intégrés, éditeur visuel avec aperçu en direct, 20 champs xterm.js + 24 variables de couleur UI, dérivation automatique des couleurs UI depuis la palette du terminal
• Enregistrement de session : format asciicast v2, enregistrement et lecture complets
• Diffusion d'entrée : tapez une fois, envoyez à tous les panneaux divisés — opérations serveur par lots
• Galerie d'arrière-plans : images d'arrière-plan par onglet, 16 types d'onglets, contrôle opacité/flou/ajustement
• Companion CLI (oxt) : binaire d'environ 1 Mo, JSON-RPC 2.0 via Unix Socket / Named Pipe, status/health/list/forward/config/connect/focus/attach/SFTP/import/AI avec sortie humaine ou --json
• WSL Graphics ⚠️ expérimental : visionneuse VNC intégrée — 9 environnements de bureau + mode application unique, détection WSLg, Xtigervnc + noVNC