Phase 9e: Account-Page mit DSGVO-Self-Service

Neuer User-JWT-Pfad GET/POST /api/v1/me/{export,delete} — gespiegelte DSGVO-Logik aus dem Service-Key-Pfad, aber gegen die eigene User-ID gated. buildUserExport extrahiert in dsgvo.ts und wird von beiden Routern geteilt. /account-Page zeigt User-ID, Logout, JSON-Daten-Export (Download als Blob), und einen rot-markierten Account-Delete-Knopf mit "LÖSCHEN"- Confirmation. Logout im Header verlinkt jetzt auf /account statt direkt clear() — der User sieht zuerst, was an seinem Account hängt. Andere mana-Apps werden nicht mit gelöscht — der UI-Hinweistext zeigt auf die spätere Verein-DSGVO-Sammelanfrage über mana-admin. 48 API-Tests grün (+2 neue auth-gate-Tests für /me), web type-check 374 files 0 errors. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-08 18:03:41 +02:00 · 2026-05-08 18:03:41 +02:00 · 03117d5869
commit 03117d5869
parent aff4d9536a
7 changed files with 316 additions and 52 deletions
--- a/apps/web/src/lib/components/Header.svelte
+++ b/apps/web/src/lib/components/Header.svelte
@ -36,15 +36,13 @@

 		<div class="flex items-center gap-3 text-sm">
 			{#if devUser.id}
-				<span class="text-[var(--color-muted)]"
-					>{devUser.id}
-				</span>
-				<button
-					class="rounded border px-2 py-1 text-xs hover:bg-[var(--color-border)] border-[var(--color-border)]"
-					onclick={() => devUser.clear()}
+				<a
+					href="/account"
+					class="truncate max-w-[180px] text-[var(--color-muted)] hover:text-[var(--color-fg)]"
+					title={devUser.id}
 				>
-					Logout (dev)
-				</button>
+					{devUser.id}
+				</a>
 			{:else}
 				<button
 					class="rounded bg-[var(--color-primary)] px-3 py-1 text-[var(--color-primary-fg)]"