chahine/rebreak-monorepo
1
0
Fork 0
Code Issues Pull Requests Actions 2 Packages Projects Releases Wiki Activity
rebreak-monorepo/backend/server/api/mail-connections/[id].post.ts
chahinebrini 0ab635c74a feat: art-9 consent flow + outlook-oauth schema + cooldown patterns + mail draft persist 
DSGVO Art. 9 — Compliance-Gap im Mail-Connect-Flow geschlossen (Hans-Müller-DSB
hat den Gap für Gmail/iCloud/GMX identifiziert, schon vor Outlook-OAuth-Pflicht):

- Schema: mail_connections.consent_at + consent_version + consent_ip_address;
  neue consent_logs-Tabelle für Audit (grant + revoke append-only)
- Endpoints:
  - POST /api/mail-connections/consent (Bulk-Array für Re-Consent, partial-fail
    wirft sofort = DSGVO-sicher gegen silent-skip fremder IDs)
  - POST /api/mail-connections/:id mit consent-gate (412 wenn consentVersion fehlt)
  - DELETE /api/mail-connections/:id mit Widerruf-Log (OAuth-Token-Revoke als
    TODO für mo Phase 2)
  - GET /api/mail-connections/pending-consent — listet Bestands-Connections
    mit consent_at=NULL für Re-Consent-Modal
- Account-Lösch-Bug fix: deleteAllMailConnections() war in user/delete nicht
  eingebunden — Verbindungen blieben als Waisen
- Frontend:
  - ConnectMailSheet: neuer Consent-Step VOR Provider-Grid (view-Machine
    consent → grid → form), exakter Hans-Müller-Wortlaut für Art. 9 Abs. 2
    lit. a Einwilligung
  - MailConsentReminderSheet: Re-Consent-Modal beim App-Open für Bestands-User
  - Stores mailConsent + mailConnectDraft (letzterer fixt Bug: Email/Provider
    ging verloren wenn User Browser für App-Pw-Generierung öffnete)
  - 12 neue i18n-Keys mail.consent.* in DE + EN
- Versionierter Consent-Text: art9-mail-v1-2026-05-13 (Bump bei Text-Änderung
  triggert Re-Consent für alle)

Outlook-OAuth Schema (Phase 0 — additiv, Endpoints kommen später):

- mail_connections: auth_method (default 'app_password' → keine Bestands-
  Connection bricht), oauth_access_token, oauth_refresh_token,
  oauth_token_expiry, oauth_scope
- Encryption via bestehendes server/utils/crypto.ts (AES-256-GCM, Key aus
  Infisical)
- Plan-Doc backend/docs/mail-outlook-oauth-plan.md (mo)
- DSB-Review backend/docs/mail-outlook-oauth-dsgvo-review.md (Hans-Müller):
  MS als Sub-AV via DPA Sep 2025, EU Data Boundary seit Feb 2025; 5 Pflicht-
  Aufgaben + Anwalts-Klärung zu DPA-Anspruch ohne MS-Lizenz

Profile — Cooldown-Pattern-Analysis als Collapsible:

- CooldownPatternAnalysis: 24h-Uhrzeit-Heatmap, Mo–So-Wochentag-Histogramm,
  Top-5-Reason-Wortcloud mit Stop-Words-Filter, Cancel-Rate-Anzeige
- DiGA-relevant: NLP läuft client-side, reason-Texte verlassen das Device
  nicht (gut für DSB-Akte)
- useProfileData: useCooldownHistoryFull (limit=100) für Pattern-Analyse
- Neutral formuliert, kein Stigma, alle Headings als Frage

Plan-Docs (kein Code):

- backend/docs/mail-custom-keywords-plan.md — Pro/Legend Custom-Keyword-Filter
  (3.25 PT MVP, user-scoped, Body-Match in Phase 2)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-13 16:35:18 +02:00

196 lines
6.0 KiB
TypeScript
Raw Blame History

import { CURRENT_ART9_MAIL_VERSION } from "../../utils/consent-texts";
import {
writeConsentGrant,
setMailConnectionConsent,
} from "../../db/consent";
import {
countMailConnections,
upsertMailConnection,
} from "../../db/mail";
import { getProfile } from "../../db/profile";
import { getPlanLimits } from "../../utils/plan-features";
import { detectImapProviderAsync } from "../../utils/imap-providers";
import { ImapFlow } from "imapflow";
/**
* POST /api/mail-connections/:id
*
* Gateway-Endpoint für das Anlegen einer neuen MailConnection — mit Art. 9-Consent-Check.
*
* Wenn kein gültiger Consent vorliegt, antwortet der Endpoint mit 412 BEFORE
* jede IMAP-Verbindung versucht wird. Das Frontend muss dann:
* 1. Das Consent-Modal anzeigen (Art. 9-Text)
* 2. User bestätigt → POST /api/mail-connections/consent
* 3. Danach diesen Endpoint erneut aufrufen (mit consentVersion im Body)
*
* Body:
* email: string (required)
* password: string (required)
* consentVersion: string (required — muss CURRENT_ART9_MAIL_VERSION entsprechen)
* imapHost?: string
* imapPort?: number
* useTls?: boolean
* rejectUnauthorized?: boolean
*
* Response:
* 200: { connected: true, email, provider, custom }
* 412: { error: 'consent_required', consentVersion: string } ← Frontend zeigt Modal
* 400: { error: 'invalid_body' }
* 401: { error: 'imap_auth_failed' }
* 403: { error: 'plan_limit', ... }
*
* HINWEIS: Dieser Endpoint ersetzt NICHT connect.post.ts — er ist ein paralleler
* Pfad mit explizitem Consent-Gate. Der bestehende /api/mail/connect bleibt
* vorerst aktiv (Abwärtskompatibilität), sollte aber mittelfristig auf diesen
* Endpoint migriert werden.
*/
export default defineEventHandler(async (event) => {
const user = await requireUser(event);
const body = await readBody(event).catch(() => null);
if (!body) {
throw createError({
statusCode: 400,
data: { error: "invalid_body" },
});
}
const {
email,
password,
consentVersion,
imapHost: customImapHost,
imapPort: customImapPort,
useTls,
rejectUnauthorized,
} = body as {
email?: string;
password?: string;
consentVersion?: string;
imapHost?: string;
imapPort?: number;
useTls?: boolean;
rejectUnauthorized?: boolean;
};
if (!email || !password) {
throw createError({
statusCode: 400,
data: { error: "invalid_body" },
});
}
// ── Art. 9-Consent-Gateway ────────────────────────────────────────────────
// Keine Einwilligung → sofort 412, bevor IMAP-Verbindung aufgebaut wird.
if (!consentVersion || consentVersion !== CURRENT_ART9_MAIL_VERSION) {
throw createError({
statusCode: 412,
data: {
error: "consent_required",
consentVersion: CURRENT_ART9_MAIL_VERSION,
},
});
}
// ── Plan-Limit prüfen ─────────────────────────────────────────────────────
const profile = await getProfile(user.id);
const limits = getPlanLimits(profile?.plan ?? "free");
if (limits.mailAgents !== Infinity) {
const count = await countMailConnections(user.id);
if (count >= limits.mailAgents) {
throw createError({
statusCode: 403,
data: {
error: "plan_limit",
resource: "mail_accounts",
current: count,
limit: limits.mailAgents,
},
});
}
}
// ── IMAP-Provider-Detection ───────────────────────────────────────────────
const provider = await detectImapProviderAsync(email);
const resolvedHost = customImapHost?.trim() || provider.host;
const resolvedPort = customImapPort ?? provider.port;
const useImplicitTls = useTls !== false;
const tlsRejectUnauthorized = rejectUnauthorized !== false;
const useStarttls = useTls === false;
// ── IMAP-Verbindung testen ────────────────────────────────────────────────
const client = new ImapFlow({
host: resolvedHost,
port: resolvedPort,
secure: useImplicitTls,
...(useStarttls ? { requireTLS: true } : {}),
auth: { user: email, pass: password },
logger: false,
tls: { rejectUnauthorized: tlsRejectUnauthorized },
});
try {
await client.connect();
await client.logout();
} catch (err: any) {
throw createError({
statusCode: 401,
data: {
error: "imap_auth_failed",
detail: err.message ?? "connection_failed",
},
});
}
// ── Consent-Zeitstempel & Audit-Log VOR dem Upsert ───────────────────────
const now = new Date();
const ipAddress =
getHeader(event, "x-forwarded-for")?.split(",")[0]?.trim() ??
getHeader(event, "x-real-ip") ??
null;
const userAgent = getHeader(event, "user-agent") ?? null;
// MailConnection anlegen/updaten
const connection = await upsertMailConnection({
userId: user.id,
email,
provider: "imap",
providerName: customImapHost ? resolvedHost : provider.name,
imapHost: resolvedHost,
imapPort: resolvedPort,
passwordEncrypted: encrypt(password),
rejectUnauthorized: tlsRejectUnauthorized,
useStarttls,
});
// consent_at + version auf der Connection setzen
await setMailConnectionConsent({
connectionId: connection.id,
userId: user.id,
consentAt: now,
consentVersion,
consentIpAddress: ipAddress,
});
// Append-only Audit-Log
await writeConsentGrant({
userId: user.id,
consentType: "art9-mail",
consentVersion,
consentAt: now,
ipAddress,
userAgent,
mailConnectionId: connection.id,
});
return {
connected: true,
email,
provider: customImapHost ? resolvedHost : provider.name,
custom: !!customImapHost,
};
});
Reference in New Issue View Git Blame Copy Permalink