wordeck

till/wordeck

Fork 0

Commit graph

Author	SHA1	Message	Date
Till JS	c9eb0a6f80	Phase 9k: Media-Upload via MinIO-Container Eigener cards-minio-Container im docker-compose (9100/9101 — Plattform auf 9000/9001 bleibt isoliert). cardsadmin/cardsadmin als Dev-Default, prod via env-Vars (CARDS_S3_*). apps/api/src/services/storage.ts — schmaler StorageService um den minio-Client. ensureBucket() ist idempotent (auto-create beim ersten Upload). removeObjectsByPrefix() implementiert den DSGVO-Bucket-Sweep, weil die S3-API kein Cascade kennt. Neue Tabelle media_files in pgSchema('cards'): id, user_id, object_key, mime_type, original_filename, size_bytes, kind, created_at — kein FK auf cards (ein File kann mehreren Karten gehören). objectKey-Format <userId>/<ulid>.<ext> für Bucket-Prefix- Sweep beim DSGVO-Delete. Legacy mediaRefs bleibt als Slot. Neuer Router /api/v1/media: POST /upload — multipart, 25 MiB Default-Limit, image/audio/video only (415 sonst), schreibt media_files-Row + speichert in MinIO unter <userId>/<ulid>.<ext> GET /:id — streamt aus MinIO mit Cache-Control: private, immutable. Cross-User → 404 (nicht 403, anti-enumeration). GET / — listet alle eigenen Files DSGVO-Pfade (Service-Key + /me/delete) räumen jetzt auch media_files + MinIO-Bucket-Prefix mit ab. Storage-Sweep ist non-fatal — DB ist erst konsistent gelöscht, dead bytes wären die schlimmstmögliche Folge. Anki-Import: parse.ts sanitizeAnkiHtml akzeptiert wieder eine Filename→URL-Map (war in Phase 8c gedroppt). import.ts lädt vor den Karten alle referenzierten Media-Files via uploadMedia() in MinIO, sammelt URLs, ersetzt Anki-Filenames durch /api/v1/media/<id>-Pfade in `<img>` (Markdown) und `[sound:…]` (HTML <audio>). 4-fache Worker- Concurrency. apps/web/src/lib/markdown.ts: DOMPurify lässt jetzt <audio>/<video>/ <source> mit src/controls/preload-Attributen durch — sonst würden die Audio-Tags aus dem Anki-Import gestrippt. i18n-Strings (DE/EN) auf Media-Stage erweitert: stage_media, done_media, what_works_media, dropzone_hint, preview_media. import.what_skipped_media wird zur Bestätigung dass Media seit Sprint 9k mit übernommen wird. Manueller E2E-Smoke gegen lokale MinIO (cards-minio :9100): - 1×1-PNG hochgeladen → 201 mit ID + URL - /api/v1/media/<id> streamt 200 image/png 69 bytes (file-Identifikation bestätigt) - Cross-User → 404, ohne X-User-Id → 401, text/plain → 415 53 API-Tests grün (+4 neue media-Auth-Gate-Tests), 7 Web-Tests, 51 Domain-Tests, type-check + svelte-check 0 errors. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-08 18:42:56 +02:00
Till JS	6db6dc3e42	Phase 9f: Statistik-Dashboard Neuer Endpoint GET /api/v1/me/stats liefert in einem Aufruf alle Aggregate für die Stats-UI: - total_decks / total_cards / total_reviews / due_now - state_counts pro FSRS-Zustand (new/learning/review/relearning) - reviewed_per_day für die letzten 7 Tage (Quelle: reviews.last_review, via to_char(day, 'YYYY-MM-DD') auf Postgres-Seite gruppiert) - streak_days (rückwärts ab heute bis zum ersten Tag ohne Review) study_sessions wird aktuell NICHT befüllt — der Schema-Slot existiert seit Phase 3, aber der Session-Tracker kommt erst, wenn das Lern- Flow-Layer ausgebaut wird. last_review reicht für jetzt. /stats-Page rendert vier KPI-Cards, einen 7-Tage-Säulen-Chart per CSS-Heights, plus eine FSRS-State-Distribution. Header-Nav um "Statistik" ergänzt. E2E-Smoke gegen lokale Postgres bestätigt: bestehender Cloze-User zeigt 1 Deck, 1 Karte, 2 Reviews, 2 due, alle "new"-State, 0 Streak — passt zum gestern eingespielten Smoke-User. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-08 18:06:13 +02:00
Till JS	03117d5869	Phase 9e: Account-Page mit DSGVO-Self-Service Neuer User-JWT-Pfad GET/POST /api/v1/me/{export,delete} — gespiegelte DSGVO-Logik aus dem Service-Key-Pfad, aber gegen die eigene User-ID gated. buildUserExport extrahiert in dsgvo.ts und wird von beiden Routern geteilt. /account-Page zeigt User-ID, Logout, JSON-Daten-Export (Download als Blob), und einen rot-markierten Account-Delete-Knopf mit "LÖSCHEN"- Confirmation. Logout im Header verlinkt jetzt auf /account statt direkt clear() — der User sieht zuerst, was an seinem Account hängt. Andere mana-Apps werden nicht mit gelöscht — der UI-Hinweistext zeigt auf die spätere Verein-DSGVO-Sammelanfrage über mana-admin. 48 API-Tests grün (+2 neue auth-gate-Tests für /me), web type-check 374 files 0 errors. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-08 18:03:41 +02:00

Author

SHA1

Message

Date

Till JS

c9eb0a6f80

Phase 9k: Media-Upload via MinIO-Container

Eigener cards-minio-Container im docker-compose (9100/9101 — Plattform
auf 9000/9001 bleibt isoliert). cardsadmin/cardsadmin als Dev-Default,
prod via env-Vars (CARDS_S3_*).

apps/api/src/services/storage.ts — schmaler StorageService um den
minio-Client. ensureBucket() ist idempotent (auto-create beim ersten
Upload). removeObjectsByPrefix() implementiert den DSGVO-Bucket-Sweep,
weil die S3-API kein Cascade kennt.

Neue Tabelle media_files in pgSchema('cards'):
  id, user_id, object_key, mime_type, original_filename, size_bytes,
  kind, created_at — kein FK auf cards (ein File kann mehreren Karten
  gehören). objectKey-Format <userId>/<ulid>.<ext> für Bucket-Prefix-
  Sweep beim DSGVO-Delete. Legacy mediaRefs bleibt als Slot.

Neuer Router /api/v1/media:
  POST /upload   — multipart, 25 MiB Default-Limit, image/audio/video
                   only (415 sonst), schreibt media_files-Row + speichert
                   in MinIO unter <userId>/<ulid>.<ext>
  GET  /:id      — streamt aus MinIO mit Cache-Control: private,
                   immutable. Cross-User → 404 (nicht 403, anti-enumeration).
  GET  /         — listet alle eigenen Files

DSGVO-Pfade (Service-Key + /me/delete) räumen jetzt auch media_files
+ MinIO-Bucket-Prefix mit ab. Storage-Sweep ist non-fatal — DB ist erst
konsistent gelöscht, dead bytes wären die schlimmstmögliche Folge.

Anki-Import: parse.ts sanitizeAnkiHtml akzeptiert wieder eine
Filename→URL-Map (war in Phase 8c gedroppt). import.ts lädt vor den
Karten alle referenzierten Media-Files via uploadMedia() in MinIO,
sammelt URLs, ersetzt Anki-Filenames durch /api/v1/media/<id>-Pfade
in `<img>` (Markdown) und `[sound:…]` (HTML <audio>). 4-fache Worker-
Concurrency.

apps/web/src/lib/markdown.ts: DOMPurify lässt jetzt <audio>/<video>/
<source> mit src/controls/preload-Attributen durch — sonst würden die
Audio-Tags aus dem Anki-Import gestrippt.

i18n-Strings (DE/EN) auf Media-Stage erweitert: stage_media,
done_media, what_works_media, dropzone_hint, preview_media.
import.what_skipped_media wird zur Bestätigung dass Media seit
Sprint 9k mit übernommen wird.

Manueller E2E-Smoke gegen lokale MinIO (cards-minio :9100):
- 1×1-PNG hochgeladen → 201 mit ID + URL
- /api/v1/media/<id> streamt 200 image/png 69 bytes (file-Identifikation
  bestätigt)
- Cross-User → 404, ohne X-User-Id → 401, text/plain → 415

53 API-Tests grün (+4 neue media-Auth-Gate-Tests), 7 Web-Tests,
51 Domain-Tests, type-check + svelte-check 0 errors.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-08 18:42:56 +02:00

Till JS

6db6dc3e42

Phase 9f: Statistik-Dashboard

Neuer Endpoint GET /api/v1/me/stats liefert in einem Aufruf alle
Aggregate für die Stats-UI:
- total_decks / total_cards / total_reviews / due_now
- state_counts pro FSRS-Zustand (new/learning/review/relearning)
- reviewed_per_day für die letzten 7 Tage (Quelle: reviews.last_review,
  via to_char(day, 'YYYY-MM-DD') auf Postgres-Seite gruppiert)
- streak_days (rückwärts ab heute bis zum ersten Tag ohne Review)

study_sessions wird aktuell NICHT befüllt — der Schema-Slot existiert
seit Phase 3, aber der Session-Tracker kommt erst, wenn das Lern-
Flow-Layer ausgebaut wird. last_review reicht für jetzt.

/stats-Page rendert vier KPI-Cards, einen 7-Tage-Säulen-Chart per
CSS-Heights, plus eine FSRS-State-Distribution. Header-Nav um
"Statistik" ergänzt.

E2E-Smoke gegen lokale Postgres bestätigt: bestehender Cloze-User
zeigt 1 Deck, 1 Karte, 2 Reviews, 2 due, alle "new"-State, 0
Streak — passt zum gestern eingespielten Smoke-User.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-08 18:06:13 +02:00

Till JS

03117d5869

Phase 9e: Account-Page mit DSGVO-Self-Service

Neuer User-JWT-Pfad GET/POST /api/v1/me/{export,delete} — gespiegelte
DSGVO-Logik aus dem Service-Key-Pfad, aber gegen die eigene User-ID
gated. buildUserExport extrahiert in dsgvo.ts und wird von beiden
Routern geteilt.

/account-Page zeigt User-ID, Logout, JSON-Daten-Export (Download als
Blob), und einen rot-markierten Account-Delete-Knopf mit "LÖSCHEN"-
Confirmation. Logout im Header verlinkt jetzt auf /account statt
direkt clear() — der User sieht zuerst, was an seinem Account hängt.

Andere mana-Apps werden nicht mit gelöscht — der UI-Hinweistext zeigt
auf die spätere Verein-DSGVO-Sammelanfrage über mana-admin.

48 API-Tests grün (+2 neue auth-gate-Tests für /me), web type-check
374 files 0 errors.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-08 18:03:41 +02:00

3 commits