rebreak-monorepo

chahine/rebreak-monorepo

Fork 0

Commit Graph

Author	SHA1	Message	Date
chahinebrini	5434254f74	feat(auth,mail): pw-reset OTP-flow + custom mail templates + account-switch cleanup - Phase 3 PW-Reset: 3 screens (forgot-password → reset-otp → new-password), verifyOtp({type:'recovery'}), new updatePassword() action - Custom Brevo-Mail templates (backend/public/templates/) — 5 HTMLs with go-template i18n (de/en/fr/ar incl. RTL for AR), OTP-only (no link), ReBreak branding - signUp metadata.data.locale aus i18n.language → templates resolven Sprache - Account-Switch-Bug fix: signOut() resettet alle 10 user-spezifischen stores + invalidateMe()	2026-05-19 10:49:23 +02:00
chahinebrini	0ab635c74a	feat: art-9 consent flow + outlook-oauth schema + cooldown patterns + mail draft persist DSGVO Art. 9 — Compliance-Gap im Mail-Connect-Flow geschlossen (Hans-Müller-DSB hat den Gap für Gmail/iCloud/GMX identifiziert, schon vor Outlook-OAuth-Pflicht): - Schema: mail_connections.consent_at + consent_version + consent_ip_address; neue consent_logs-Tabelle für Audit (grant + revoke append-only) - Endpoints: - POST /api/mail-connections/consent (Bulk-Array für Re-Consent, partial-fail wirft sofort = DSGVO-sicher gegen silent-skip fremder IDs) - POST /api/mail-connections/:id mit consent-gate (412 wenn consentVersion fehlt) - DELETE /api/mail-connections/:id mit Widerruf-Log (OAuth-Token-Revoke als TODO für mo Phase 2) - GET /api/mail-connections/pending-consent — listet Bestands-Connections mit consent_at=NULL für Re-Consent-Modal - Account-Lösch-Bug fix: deleteAllMailConnections() war in user/delete nicht eingebunden — Verbindungen blieben als Waisen - Frontend: - ConnectMailSheet: neuer Consent-Step VOR Provider-Grid (view-Machine consent → grid → form), exakter Hans-Müller-Wortlaut für Art. 9 Abs. 2 lit. a Einwilligung - MailConsentReminderSheet: Re-Consent-Modal beim App-Open für Bestands-User - Stores mailConsent + mailConnectDraft (letzterer fixt Bug: Email/Provider ging verloren wenn User Browser für App-Pw-Generierung öffnete) - 12 neue i18n-Keys mail.consent.* in DE + EN - Versionierter Consent-Text: art9-mail-v1-2026-05-13 (Bump bei Text-Änderung triggert Re-Consent für alle) Outlook-OAuth Schema (Phase 0 — additiv, Endpoints kommen später): - mail_connections: auth_method (default 'app_password' → keine Bestands- Connection bricht), oauth_access_token, oauth_refresh_token, oauth_token_expiry, oauth_scope - Encryption via bestehendes server/utils/crypto.ts (AES-256-GCM, Key aus Infisical) - Plan-Doc backend/docs/mail-outlook-oauth-plan.md (mo) - DSB-Review backend/docs/mail-outlook-oauth-dsgvo-review.md (Hans-Müller): MS als Sub-AV via DPA Sep 2025, EU Data Boundary seit Feb 2025; 5 Pflicht- Aufgaben + Anwalts-Klärung zu DPA-Anspruch ohne MS-Lizenz Profile — Cooldown-Pattern-Analysis als Collapsible: - CooldownPatternAnalysis: 24h-Uhrzeit-Heatmap, Mo–So-Wochentag-Histogramm, Top-5-Reason-Wortcloud mit Stop-Words-Filter, Cancel-Rate-Anzeige - DiGA-relevant: NLP läuft client-side, reason-Texte verlassen das Device nicht (gut für DSB-Akte) - useProfileData: useCooldownHistoryFull (limit=100) für Pattern-Analyse - Neutral formuliert, kein Stigma, alle Headings als Frage Plan-Docs (kein Code): - backend/docs/mail-custom-keywords-plan.md — Pro/Legend Custom-Keyword-Filter (3.25 PT MVP, user-scoped, Body-Match in Phase 2) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-13 16:35:18 +02:00

Author

SHA1

Message

Date

chahinebrini

5434254f74

feat(auth,mail): pw-reset OTP-flow + custom mail templates + account-switch cleanup

- Phase 3 PW-Reset: 3 screens (forgot-password → reset-otp → new-password),
  verifyOtp({type:'recovery'}), new updatePassword() action
- Custom Brevo-Mail templates (backend/public/templates/) — 5 HTMLs with
  go-template i18n (de/en/fr/ar incl. RTL for AR), OTP-only (no link),
  ReBreak branding
- signUp metadata.data.locale aus i18n.language → templates resolven Sprache
- Account-Switch-Bug fix: signOut() resettet alle 10 user-spezifischen stores
  + invalidateMe()

2026-05-19 10:49:23 +02:00

chahinebrini

0ab635c74a

feat: art-9 consent flow + outlook-oauth schema + cooldown patterns + mail draft persist

DSGVO Art. 9 — Compliance-Gap im Mail-Connect-Flow geschlossen (Hans-Müller-DSB
hat den Gap für Gmail/iCloud/GMX identifiziert, schon vor Outlook-OAuth-Pflicht):

- Schema: mail_connections.consent_at + consent_version + consent_ip_address;
  neue consent_logs-Tabelle für Audit (grant + revoke append-only)
- Endpoints:
  - POST /api/mail-connections/consent (Bulk-Array für Re-Consent, partial-fail
    wirft sofort = DSGVO-sicher gegen silent-skip fremder IDs)
  - POST /api/mail-connections/:id mit consent-gate (412 wenn consentVersion fehlt)
  - DELETE /api/mail-connections/:id mit Widerruf-Log (OAuth-Token-Revoke als
    TODO für mo Phase 2)
  - GET /api/mail-connections/pending-consent — listet Bestands-Connections
    mit consent_at=NULL für Re-Consent-Modal
- Account-Lösch-Bug fix: deleteAllMailConnections() war in user/delete nicht
  eingebunden — Verbindungen blieben als Waisen
- Frontend:
  - ConnectMailSheet: neuer Consent-Step VOR Provider-Grid (view-Machine
    consent → grid → form), exakter Hans-Müller-Wortlaut für Art. 9 Abs. 2
    lit. a Einwilligung
  - MailConsentReminderSheet: Re-Consent-Modal beim App-Open für Bestands-User
  - Stores mailConsent + mailConnectDraft (letzterer fixt Bug: Email/Provider
    ging verloren wenn User Browser für App-Pw-Generierung öffnete)
  - 12 neue i18n-Keys mail.consent.* in DE + EN
- Versionierter Consent-Text: art9-mail-v1-2026-05-13 (Bump bei Text-Änderung
  triggert Re-Consent für alle)

Outlook-OAuth Schema (Phase 0 — additiv, Endpoints kommen später):

- mail_connections: auth_method (default 'app_password' → keine Bestands-
  Connection bricht), oauth_access_token, oauth_refresh_token,
  oauth_token_expiry, oauth_scope
- Encryption via bestehendes server/utils/crypto.ts (AES-256-GCM, Key aus
  Infisical)
- Plan-Doc backend/docs/mail-outlook-oauth-plan.md (mo)
- DSB-Review backend/docs/mail-outlook-oauth-dsgvo-review.md (Hans-Müller):
  MS als Sub-AV via DPA Sep 2025, EU Data Boundary seit Feb 2025; 5 Pflicht-
  Aufgaben + Anwalts-Klärung zu DPA-Anspruch ohne MS-Lizenz

Profile — Cooldown-Pattern-Analysis als Collapsible:

- CooldownPatternAnalysis: 24h-Uhrzeit-Heatmap, Mo–So-Wochentag-Histogramm,
  Top-5-Reason-Wortcloud mit Stop-Words-Filter, Cancel-Rate-Anzeige
- DiGA-relevant: NLP läuft client-side, reason-Texte verlassen das Device
  nicht (gut für DSB-Akte)
- useProfileData: useCooldownHistoryFull (limit=100) für Pattern-Analyse
- Neutral formuliert, kein Stigma, alle Headings als Frage

Plan-Docs (kein Code):

- backend/docs/mail-custom-keywords-plan.md — Pro/Legend Custom-Keyword-Filter
  (3.25 PT MVP, user-scoped, Body-Match in Phase 2)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-13 16:35:18 +02:00

2 Commits