chahine/rebreak-monorepo
1
0
Fork 0
Code Issues Pull Requests Actions 2 Packages Projects Releases Wiki Activity
rebreak-monorepo/backend/server/db/consent.ts
chahinebrini 0ab635c74a feat: art-9 consent flow + outlook-oauth schema + cooldown patterns + mail draft persist 
DSGVO Art. 9 — Compliance-Gap im Mail-Connect-Flow geschlossen (Hans-Müller-DSB
hat den Gap für Gmail/iCloud/GMX identifiziert, schon vor Outlook-OAuth-Pflicht):

- Schema: mail_connections.consent_at + consent_version + consent_ip_address;
  neue consent_logs-Tabelle für Audit (grant + revoke append-only)
- Endpoints:
  - POST /api/mail-connections/consent (Bulk-Array für Re-Consent, partial-fail
    wirft sofort = DSGVO-sicher gegen silent-skip fremder IDs)
  - POST /api/mail-connections/:id mit consent-gate (412 wenn consentVersion fehlt)
  - DELETE /api/mail-connections/:id mit Widerruf-Log (OAuth-Token-Revoke als
    TODO für mo Phase 2)
  - GET /api/mail-connections/pending-consent — listet Bestands-Connections
    mit consent_at=NULL für Re-Consent-Modal
- Account-Lösch-Bug fix: deleteAllMailConnections() war in user/delete nicht
  eingebunden — Verbindungen blieben als Waisen
- Frontend:
  - ConnectMailSheet: neuer Consent-Step VOR Provider-Grid (view-Machine
    consent → grid → form), exakter Hans-Müller-Wortlaut für Art. 9 Abs. 2
    lit. a Einwilligung
  - MailConsentReminderSheet: Re-Consent-Modal beim App-Open für Bestands-User
  - Stores mailConsent + mailConnectDraft (letzterer fixt Bug: Email/Provider
    ging verloren wenn User Browser für App-Pw-Generierung öffnete)
  - 12 neue i18n-Keys mail.consent.* in DE + EN
- Versionierter Consent-Text: art9-mail-v1-2026-05-13 (Bump bei Text-Änderung
  triggert Re-Consent für alle)

Outlook-OAuth Schema (Phase 0 — additiv, Endpoints kommen später):

- mail_connections: auth_method (default 'app_password' → keine Bestands-
  Connection bricht), oauth_access_token, oauth_refresh_token,
  oauth_token_expiry, oauth_scope
- Encryption via bestehendes server/utils/crypto.ts (AES-256-GCM, Key aus
  Infisical)
- Plan-Doc backend/docs/mail-outlook-oauth-plan.md (mo)
- DSB-Review backend/docs/mail-outlook-oauth-dsgvo-review.md (Hans-Müller):
  MS als Sub-AV via DPA Sep 2025, EU Data Boundary seit Feb 2025; 5 Pflicht-
  Aufgaben + Anwalts-Klärung zu DPA-Anspruch ohne MS-Lizenz

Profile — Cooldown-Pattern-Analysis als Collapsible:

- CooldownPatternAnalysis: 24h-Uhrzeit-Heatmap, Mo–So-Wochentag-Histogramm,
  Top-5-Reason-Wortcloud mit Stop-Words-Filter, Cancel-Rate-Anzeige
- DiGA-relevant: NLP läuft client-side, reason-Texte verlassen das Device
  nicht (gut für DSB-Akte)
- useProfileData: useCooldownHistoryFull (limit=100) für Pattern-Analyse
- Neutral formuliert, kein Stigma, alle Headings als Frage

Plan-Docs (kein Code):

- backend/docs/mail-custom-keywords-plan.md — Pro/Legend Custom-Keyword-Filter
  (3.25 PT MVP, user-scoped, Body-Match in Phase 2)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-13 16:35:18 +02:00

111 lines
3.1 KiB
TypeScript
Raw Blame History

import { usePrisma } from "../utils/prisma";
/** Schreibt einen neuen Consent-Eintrag (Einwilligung). */
export async function writeConsentGrant(params: {
userId: string;
consentType: string;
consentVersion: string;
consentAt: Date;
ipAddress?: string | null;
userAgent?: string | null;
mailConnectionId?: string | null;
}) {
const db = usePrisma();
return db.consentLog.create({
data: {
userId: params.userId,
consentType: params.consentType,
consentVersion: params.consentVersion,
consentAt: params.consentAt,
ipAddress: params.ipAddress ?? null,
userAgent: params.userAgent ?? null,
mailConnectionId: params.mailConnectionId ?? null,
},
});
}
/**
* Schreibt einen Widerruf-Eintrag.
* Öffnet KEINE neue Row für die ursprüngliche Einwilligung — der Widerruf ist
* ein eigenständiger Eintrag (revokedAt gesetzt, consentAt = Zeitpunkt des Widerrufs).
*/
export async function writeConsentRevoke(params: {
userId: string;
consentType: string;
consentVersion: string;
revokedAt: Date;
revokeReason: string;
mailConnectionId?: string | null;
ipAddress?: string | null;
userAgent?: string | null;
}) {
const db = usePrisma();
return db.consentLog.create({
data: {
userId: params.userId,
consentType: params.consentType,
consentVersion: params.consentVersion,
// consentAt = Zeitpunkt des Widerruf-Events (Eintrag-Erstellung)
consentAt: params.revokedAt,
revokedAt: params.revokedAt,
revokeReason: params.revokeReason,
mailConnectionId: params.mailConnectionId ?? null,
ipAddress: params.ipAddress ?? null,
userAgent: params.userAgent ?? null,
},
});
}
/** Liest alle Consent-Log-Einträge eines Users — für Datenexport (Art. 15 DSGVO). */
export async function getConsentLogsByUser(userId: string) {
const db = usePrisma();
return db.consentLog.findMany({
where: { userId },
orderBy: { consentAt: "desc" },
});
}
/**
* Setzt consent_at + consent_version + consent_ip_address auf der MailConnection.
* Wird nach writeConsentGrant aufgerufen — beide Writes sind nötig:
* - consent_logs: append-only Beweislog
* - mail_connections.consent_at: Gateway-Check (Daemon + connect.post.ts)
*/
export async function setMailConnectionConsent(params: {
connectionId: string;
userId: string;
consentAt: Date;
consentVersion: string;
consentIpAddress: string | null;
}) {
const db = usePrisma();
return db.mailConnection.updateMany({
where: { id: params.connectionId, userId: params.userId },
data: {
consentAt: params.consentAt,
consentVersion: params.consentVersion,
consentIpAddress: params.consentIpAddress,
},
});
}
/**
* Gibt die aktive (nicht-widerrufene) MailConnection zurück und prüft
* ob Consent vorhanden ist.
* Wird in connect.post.ts als Gateway-Check verwendet.
*/
export async function getMailConnectionWithConsent(
connectionId: string,
userId: string,
) {
const db = usePrisma();
return db.mailConnection.findFirst({
where: { id: connectionId, userId },
select: {
id: true,
consentAt: true,
consentVersion: true,
},
});
}
Reference in New Issue View Git Blame Copy Permalink