0ab635c74a
DSGVO Art. 9 — Compliance-Gap im Mail-Connect-Flow geschlossen (Hans-Müller-DSB
hat den Gap für Gmail/iCloud/GMX identifiziert, schon vor Outlook-OAuth-Pflicht):
- Schema: mail_connections.consent_at + consent_version + consent_ip_address;
neue consent_logs-Tabelle für Audit (grant + revoke append-only)
- Endpoints:
- POST /api/mail-connections/consent (Bulk-Array für Re-Consent, partial-fail
wirft sofort = DSGVO-sicher gegen silent-skip fremder IDs)
- POST /api/mail-connections/:id mit consent-gate (412 wenn consentVersion fehlt)
- DELETE /api/mail-connections/:id mit Widerruf-Log (OAuth-Token-Revoke als
TODO für mo Phase 2)
- GET /api/mail-connections/pending-consent — listet Bestands-Connections
mit consent_at=NULL für Re-Consent-Modal
- Account-Lösch-Bug fix: deleteAllMailConnections() war in user/delete nicht
eingebunden — Verbindungen blieben als Waisen
- Frontend:
- ConnectMailSheet: neuer Consent-Step VOR Provider-Grid (view-Machine
consent → grid → form), exakter Hans-Müller-Wortlaut für Art. 9 Abs. 2
lit. a Einwilligung
- MailConsentReminderSheet: Re-Consent-Modal beim App-Open für Bestands-User
- Stores mailConsent + mailConnectDraft (letzterer fixt Bug: Email/Provider
ging verloren wenn User Browser für App-Pw-Generierung öffnete)
- 12 neue i18n-Keys mail.consent.* in DE + EN
- Versionierter Consent-Text: art9-mail-v1-2026-05-13 (Bump bei Text-Änderung
triggert Re-Consent für alle)
Outlook-OAuth Schema (Phase 0 — additiv, Endpoints kommen später):
- mail_connections: auth_method (default 'app_password' → keine Bestands-
Connection bricht), oauth_access_token, oauth_refresh_token,
oauth_token_expiry, oauth_scope
- Encryption via bestehendes server/utils/crypto.ts (AES-256-GCM, Key aus
Infisical)
- Plan-Doc backend/docs/mail-outlook-oauth-plan.md (mo)
- DSB-Review backend/docs/mail-outlook-oauth-dsgvo-review.md (Hans-Müller):
MS als Sub-AV via DPA Sep 2025, EU Data Boundary seit Feb 2025; 5 Pflicht-
Aufgaben + Anwalts-Klärung zu DPA-Anspruch ohne MS-Lizenz
Profile — Cooldown-Pattern-Analysis als Collapsible:
- CooldownPatternAnalysis: 24h-Uhrzeit-Heatmap, Mo–So-Wochentag-Histogramm,
Top-5-Reason-Wortcloud mit Stop-Words-Filter, Cancel-Rate-Anzeige
- DiGA-relevant: NLP läuft client-side, reason-Texte verlassen das Device
nicht (gut für DSB-Akte)
- useProfileData: useCooldownHistoryFull (limit=100) für Pattern-Analyse
- Neutral formuliert, kein Stigma, alle Headings als Frage
Plan-Docs (kein Code):
- backend/docs/mail-custom-keywords-plan.md — Pro/Legend Custom-Keyword-Filter
(3.25 PT MVP, user-scoped, Body-Match in Phase 2)
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
88 lines
3.1 KiB
TypeScript
88 lines
3.1 KiB
TypeScript
import { writeConsentRevoke } from "../../db/consent";
|
|
import { deleteMailConnection } from "../../db/mail";
|
|
import { usePrisma } from "../../utils/prisma";
|
|
|
|
/**
|
|
* DELETE /api/mail-connections/:id
|
|
*
|
|
* Trennt eine MailConnection mit korrekter DSGVO-Compliance:
|
|
* 1. Widerruf-Eintrag in consent_logs (Art. 7 Abs. 1 DSGVO — Beweislog)
|
|
* 2. Für OAuth-Connections (Outlook): Token-Revoke bei MS — best-effort,
|
|
* max 3 Retries, dann trotzdem löschen (DSB-Memo Abschnitt 5.1).
|
|
* NOCH NICHT implementiert — Placeholder für OAuth-Phase.
|
|
* Tracking: TODO mo — OAuth Token-Revoke, siehe consent-gap-plan.md
|
|
* 3. DB-Row löschen
|
|
*
|
|
* Param: :id = MailConnection.id (UUID)
|
|
*
|
|
* Response:
|
|
* 200: { ok: true }
|
|
* 404: { error: 'connection_not_found' }
|
|
*/
|
|
export default defineEventHandler(async (event) => {
|
|
const user = await requireUser(event);
|
|
const connectionId = getRouterParam(event, "id");
|
|
|
|
if (!connectionId) {
|
|
throw createError({
|
|
statusCode: 400,
|
|
data: { error: "missing_id" },
|
|
});
|
|
}
|
|
|
|
// Verbindung holen (brauchen wir für Consent-Version + authMethod)
|
|
const db = usePrisma();
|
|
const connection = await db.mailConnection.findFirst({
|
|
where: { id: connectionId, userId: user.id },
|
|
select: {
|
|
id: true,
|
|
consentVersion: true,
|
|
authMethod: true,
|
|
email: true,
|
|
},
|
|
});
|
|
|
|
if (!connection) {
|
|
throw createError({
|
|
statusCode: 404,
|
|
data: { error: "connection_not_found" },
|
|
});
|
|
}
|
|
|
|
const now = new Date();
|
|
const ipAddress =
|
|
getHeader(event, "x-forwarded-for")?.split(",")[0]?.trim() ??
|
|
getHeader(event, "x-real-ip") ??
|
|
null;
|
|
const userAgent = getHeader(event, "user-agent") ?? null;
|
|
|
|
// ── Widerruf in consent_logs (Art. 7) ────────────────────────────────────
|
|
// Nur wenn jemals eine Consent-Version gesetzt war (Bestandsrows ohne Consent
|
|
// haben consentVersion=null — wir loggen mit Marker-Version "none").
|
|
await writeConsentRevoke({
|
|
userId: user.id,
|
|
consentType: "art9-mail",
|
|
consentVersion: connection.consentVersion ?? "none",
|
|
revokedAt: now,
|
|
revokeReason: "user_disconnect",
|
|
mailConnectionId: connection.id,
|
|
ipAddress,
|
|
userAgent,
|
|
});
|
|
|
|
// ── OAuth Token-Revoke (Placeholder für MS-OAuth-Phase) ──────────────────
|
|
// TODO (mo — Mail-Stack): Wenn authMethod === 'oauth2_microsoft':
|
|
// 1. oauthRefreshToken aus DB lesen (decrypt)
|
|
// 2. POST https://login.microsoftonline.com/common/oauth2/v2.0/logout
|
|
// mit grant_type=revoke, token=<refresh_token>, client_id, client_secret
|
|
// 3. Max 3 Retries mit Exponential-Backoff
|
|
// 4. Audit-Log-Eintrag "token_revoked_at_ms: success/failure"
|
|
// 5. Trotzdem löschen wenn Revoke fehlschlägt (DSB-Memo Abschnitt 5.1)
|
|
// Tracking: consent-gap-plan.md TODO #2
|
|
|
|
// ── DB-Row löschen ────────────────────────────────────────────────────────
|
|
await deleteMailConnection(user.id, connectionId);
|
|
|
|
return { ok: true };
|
|
});
|