e1ddbf34b3
Some checks are pending
CI / validate (push) Waiting to run
Behebt live verifiziertes Auth-Bypass auf cardecky-api.mana.how (X-User-Id → founder-Tier) und zieht im selben Patch das fehlende Operations-/Compliance-Fundament nach. * Auth-Middleware fail-secure: opt-in via CARDS_AUTH_DEV_STUB="true" (war opt-out, Default true). Compose-Default flipped auf "false", NODE_ENV="production" für cards-api ergänzt, env-Template dokumentiert. vitest.config.ts + tests/setup.ts aktivieren den Stub gezielt für Test-Suiten. * Security-Headers: Hono secureHeaders() in apps/api, SvelteKit hooks.server.ts mit X-Frame/X-Content-Type/Referrer/ HSTS in apps/web. CSP bewusst ausgelassen — eigener Sprint. * CORS-localhost-Whitelist nur außerhalb Prod. * Rate-Limiting (in-memory sliding window, dependency-frei) auf share.receive 60/min/IP, media.upload 30/min/user, decks.generate + decks.from-image 10/min/user, dsgvo.* 10/min/IP. * Health-Endpoint mit echter DB- und MinIO-Probe; /healthz bleibt Liveness, /healthz/details ist Readiness mit 503 bei Failure. * DSGVO-Honesty: storage_ok + storage_error im Response (statt schluckend console.warn), Account-UI zeigt Fehler-Toast. * Audit-Log: strukturierte JSON-Zeile (kind: "audit") auf stdout für /dsgvo/export, /dsgvo/delete, /me/export, /me/delete. * Bug-Fix: duplizierte case "multiple-choice"-Clause in fsrs.ts. Verifiziert: apps/api 17 Files / 104 Tests grün, apps/web check 0 errors. Deploy auf Mac Mini steht noch aus. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> |
||
|---|---|---|
| .github/workflows | ||
| apps | ||
| docs | ||
| infrastructure | ||
| packages/cards-domain | ||
| scripts | ||
| .env.example | ||
| .gitignore | ||
| .npmrc | ||
| .prettierrc.json | ||
| app-manifest.json | ||
| CLAUDE.md | ||
| package.json | ||
| pnpm-lock.yaml | ||
| pnpm-workspace.yaml | ||
| README.md | ||
| STATUS.md | ||
| tsconfig.base.json | ||
| turbo.json | ||
Cards
Eigenständige Spaced-Repetition-App des Vereins mana e.V.
Cards ist eine föderierte Peer-App im mana-Ökosystem. Sie verwaltet Karteikarten, plant Wiederholungen mit dem FSRS-Algorithmus und empfängt Inhalte aus anderen Verein-Apps (z.B. Zitate aus Memoro, Notizen aus Mana, Web-Schnipsel aus dem Browser-Plugin).
→ Live (geplant): https://cardecky.mana.how
Aktueller Stand und Pickup-Onboarding: STATUS.md.
Stack
- Frontend: SvelteKit 2 + Svelte 5 (runes-only)
- Backend: Hono + Bun + Drizzle ORM
- Datenbank: Postgres mit Schema-Isolation (
pgSchema('cards')) - Auth: föderiert über mana-auth (EdDSA JWT, JWKS-Cache)
- Subscriptions: mana-credits (zentral pro Verein-Account)
- AI-Tools: über mana-mcp Claude Desktop / persona-runner verfügbar
- i18n: DE / EN / FR / ES / IT
- Build: Turborepo + pnpm 9
Status
Phase 0 (Repo-Skeleton) — siehe mana/docs/playbooks/CARDS_GREENFIELD.md
für den vollständigen Plan.
Lokal entwickeln
pnpm install
pnpm dev:full # cards docker + mana docker + DB-Push (cards & auth) + dev (cards & mana-auth)
Oder von überall via zsh-Alias: cards-dev.
dev:full greift in ../mana/ (Plattform-Repo): startet mana-postgres,
pushed mana-auth-Schema, und startet mana-auth auf :3001 parallel zu
cards-api/-web. Damit ist Login lokal komplett testbar (Cookie-Domain
localhost, eigener Dev-User in lokaler mana_auth-DB).
Einzelschritte (falls nur Teile gebraucht werden):
pnpm docker:up # Cards Postgres + MinIO (wartet bis healthy)
pnpm docker:up:auth # Mana Postgres (wartet bis healthy)
pnpm db:push # Cards Drizzle-Schema
pnpm db:push:auth # mana-auth Drizzle-Schema
pnpm dev # cards api + web parallel (Turbo)
pnpm dev:auth # mana-auth :3001
→ API auf http://localhost:3081, Web auf http://localhost:3082 (oder Vite-Dev-Default 5173).
Voraussetzung: Mana-Plattform-Stack (mana-auth, evtl. Föderations-Services) muss lokal laufen, sonst greift Auth-Login nicht.
Lizenz
Mana-Verein-intern, MIT (siehe mana/docs/COMPLIANCE.md für Details
zur Verein-Lizenzpolitik).