devlog: 2 Tage geschrieben (v1.0.0 → v1.5.0)

Tag 1: initiale Extraktion aus memoro-native.
Tag 2: Reifung zu v1.5.0 (Account-Lifecycle, Guest-Mode +
Refresh-Resilience, 2FA, ProfileInfo).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

devlog/2026-05-12/data.json

@@ -0,0 +1,87 @@
+{
+  "date": "2026-05-12",
+  "day_number": 1,
+  "weekday": "Dienstag",
+  "commits": 1,
+  "authors": [
+    {
+      "name": "Till JS",
+      "count": 1
+    }
+  ],
+  "additions": 1151,
+  "deletions": 0,
+  "net_lines": 1151,
+  "files_changed": 23,
+  "new_files": 0,
+  "deleted_files": 0,
+  "session": {
+    "first_commit_at": "2026-05-12T17:13:31.000Z",
+    "last_commit_at": "2026-05-12T17:13:31.000Z",
+    "total_span_minutes": 0,
+    "active_minutes": 0,
+    "pauses": [],
+    "longest_focus_minutes": 0
+  },
+  "top_dirs": [
+    {
+      "path": "Sources/ManaCore/Auth",
+      "pct": 22
+    },
+    {
+      "path": "Sources/ManaTokens/Colors",
+      "pct": 13
+    },
+    {
+      "path": "Sources/ManaTokens/Spacing",
+      "pct": 9
+    },
+    {
+      "path": ".gitignore",
+      "pct": 4
+    },
+    {
+      "path": ".swiftformat",
+      "pct": 4
+    }
+  ],
+  "top_extensions": [
+    {
+      "ext": ".swift",
+      "count": 17
+    },
+    {
+      "ext": ".md",
+      "count": 3
+    },
+    {
+      "ext": ".gitignore",
+      "count": 1
+    },
+    {
+      "ext": ".swiftformat",
+      "count": 1
+    },
+    {
+      "ext": ".yml",
+      "count": 1
+    }
+  ],
+  "tags": [],
+  "commits_list": [
+    {
+      "hash": "df6f67e",
+      "short": "v1.0.0 — initiale Extraktion aus memoro-native",
+      "type": null,
+      "scope": null,
+      "additions": 1151,
+      "deletions": 0,
+      "timestamp": "2026-05-12T19:13:31+02:00"
+    }
+  ],
+  "review_state": "auto",
+  "llm": {
+    "model": null,
+    "generated_at": null
+  }
+}

devlog/2026-05-12/macher.md

@@ -0,0 +1,83 @@
+---
+date: 2026-05-12
+day: 1
+view: macher
+weekday: Dienstag
+commits: 1
+review: written
+---
+# Dienstag, 2026-05-12 — Tag 1 (Macher-Sicht)
+
+**v1.0.0 — initiale Extraktion aus memoro-native.** Swift-Package
+mit zwei Library-Products: `ManaCore` (Auth + Transport) und
+`ManaTokens` (Vereins-Designwerte aus `mana/docs/THEMING.md`).
+
+## Stats
+
+1 Commit, +1 151 / −0 LoC, 23 Files. 17× `.swift`. Top-Dirs:
+`Sources/ManaCore/Auth` (22 %), `Sources/ManaTokens/Colors` (13 %),
+`Sources/ManaTokens/Spacing` (9 %).
+
+## Was im Initial-Commit drin ist
+
+- **ManaCore.Auth** — `AuthClient` (Login + Refresh gegen
+  `/api/v1/auth/login` und `/api/v1/auth/refresh`),
+  `KeychainStorage` für Access/Refresh-Token-Persistenz, JWT-Decode
+  + Expiry-Check, 401-Retry-Loop in `Transport`.
+- **ManaCore.Transport** — URLSession-Wrapper, protocol-injected
+  für Tests, automatisches Refresh-on-401.
+- **ManaTokens** — Vereins-Farben (`mana`, `forest`, demnächst
+  weitere Themes), Spacing-Skala, Typography-Konstanten. Spiegelt
+  `mana/docs/THEMING.md` 1:1.
+- **Verpackung**: `Package.swift` mit Swift 6.0, iOS 18 / macOS 15,
+  Strict Concurrency komplett.
+
+## Architektur-Entscheidungen
+
+- **Genau zwei Library-Products.** `ManaCore` + `ManaTokens`. UI-
+  Komponenten (`ManaUI`) entstehen in einem separaten Repo
+  (`mana-swift-ui`, Phase ε). Hier nicht.
+- **Keine externen Dependencies.** Nur Foundation, Security, OSLog,
+  Combine. Begründung Compliance + Build-Stabilität. Kein Alamofire,
+  kein Sentry.
+- **Public API ist `Sendable`.** Swift-6-Concurrency strikt; jeder
+  Cross-Actor-Type annotiert.
+- **App injiziert ihre Config.** `authBaseURL`, `keychainService`,
+  `keychainAccessGroup` kommen vom Caller. ManaCore hat keine
+  Hardcoded-App-Konstanten außer den mana-auth-Endpoint-Pfaden
+  (`/api/v1/auth/login`, `/api/v1/auth/refresh`).
+- **OSLog statt print/Sentry.** ManaCore loggt unter Subsystem
+  `ev.mana.core`. Apps haben ihr eigenes Subsystem.
+- **Tests gegen reine Logik**, nicht echtes Netzwerk. URLSession
+  über Protokoll-Injection mockbar.
+- **Keine app-spezifischen Annahmen.** ManaCore weiß nichts über
+  Memos, Decks, Meals. Wenn das Paket „etwas für Memoro" lernen
+  will, gehört es zurück in memoro-native.
+
+## Trade-offs
+
+- **Wortwörtliche Extraktion**, keine spekulative Verallgemeinerung.
+  Die `AuthClient`-API ist die alte memoro-Variante; falls neue
+  Apps andere Bedürfnisse haben, lieber additiv erweitern als
+  vorab abstrahieren.
+- **+1 151 LoC in einem Commit** ist groß, aber sauber: das war
+  ein Move-Commit, kein Feature-Commit. Hätte man auf Auth/
+  Transport/Tokens splitten können — pragmatisch zusammen, weil
+  alle drei aus demselben Source-Repo kamen.
+- **Initiale Versions-Politik strikt Semver.** Patch-Bugfix,
+  Minor-additiv, Major-breaking. Pflege-Politik: letzte zwei
+  Major-Versionen.
+
+## Offene Punkte
+
+- **`mana-swift-ui`-Repo** existiert noch nicht — UI-Komponenten
+  bleiben pro App, bis Phase ε in einem dritten Repo extrahiert
+  wird (kam morgen, siehe `mana-swift-ui` Tag 1).
+- **2FA-Endpoint-Spezifikation** im AuthClient fehlt — Memoro hatte
+  noch kein 2FA. Wenn die UI-Schicht 2FA bekommt, muss ManaCore
+  nachziehen.
+- **Refresh-Token-Rotation** (`mana-auth` hat dafür einen Endpoint)
+  ist in AuthClient noch nicht. Patch-Bump-Kandidat.
+- **Theme-Variants** in ManaTokens noch hartcodiert auf `mana` und
+  `forest`. Die im THEMING.md beschriebenen weiteren Themes
+  (`spruce`, `cardecky`, …) folgen.

devlog/2026-05-12/spieler.md

@@ -0,0 +1,27 @@
+---
+date: 2026-05-12
+day: 1
+view: spieler
+weekday: Dienstag
+commits: 1
+review: written
+---
+# Dienstag, 2026-05-12 — Tag 1
+
+Dieses Paket ist die Grundlage, die alle Vereins-iPhone-/Mac-Apps
+gemeinsam haben — Anmelden, Token-Verwaltung, Vereins-Farben und
+-Abstände. Bisher steckte das in der Memoro-App; heute lebt es
+eigenständig.
+
+## Was sich für dich ändert
+
+Direkt: nichts, was du in einer App sehen würdest. Indirekt: alle
+zukünftigen mana-Apps (Cards, Manaspur, Nutriphi, weitere) bekommen
+dieselbe Anmelde-Mechanik, dieselben Vereins-Farben — automatisch.
+Was du in einer App lernst, fühlt sich in der nächsten gleich an.
+
+## Hintergrund
+
+Memoro hatte „mana-auth-Login" schon, Cards musste es kopieren,
+Manaspur hätte es ein drittes Mal nachgebaut. Stattdessen liegt es
+jetzt einmal an einem Ort.

devlog/2026-05-13/data.json

@@ -0,0 +1,172 @@
+{
+  "date": "2026-05-13",
+  "day_number": 2,
+  "weekday": "Mittwoch",
+  "commits": 8,
+  "authors": [
+    {
+      "name": "Till JS",
+      "count": 8
+    }
+  ],
+  "additions": 5427,
+  "deletions": 2895,
+  "net_lines": 2532,
+  "files_changed": 408,
+  "new_files": 0,
+  "deleted_files": 0,
+  "session": {
+    "first_commit_at": "2026-05-13T15:18:23.000Z",
+    "last_commit_at": "2026-05-13T23:07:55.000Z",
+    "total_span_minutes": 470,
+    "active_minutes": 62,
+    "pauses": [
+      {
+        "from": "17:18",
+        "to": "19:22",
+        "minutes": 124
+      },
+      {
+        "from": "19:35",
+        "to": "22:16",
+        "minutes": 160
+      },
+      {
+        "from": "22:16",
+        "to": "00:20",
+        "minutes": 124
+      }
+    ],
+    "longest_focus_minutes": 48
+  },
+  "top_dirs": [
+    {
+      "path": "build/mana-swift-core.build/Release",
+      "pct": 19
+    },
+    {
+      "path": "build/SwiftExplicitPrecompiledModules/1HSBLLLL9AUU4",
+      "pct": 15
+    },
+    {
+      "path": "build/SwiftExplicitPrecompiledModules/1KYQZQ1R5RV9Z",
+      "pct": 15
+    },
+    {
+      "path": "build/SwiftExplicitPrecompiledModules/33L8UAO7QRF6J",
+      "pct": 9
+    },
+    {
+      "path": "build/SwiftExplicitPrecompiledModules/1IZ03QLWZJUL2",
+      "pct": 9
+    }
+  ],
+  "top_extensions": [
+    {
+      "ext": ".pcm",
+      "count": 620
+    },
+    {
+      "ext": ".json",
+      "count": 30
+    },
+    {
+      "ext": ".stringsdata",
+      "count": 28
+    },
+    {
+      "ext": ".o",
+      "count": 26
+    },
+    {
+      "ext": ".swift",
+      "count": 22
+    },
+    {
+      "ext": ".modulemap",
+      "count": 8
+    }
+  ],
+  "tags": [
+    "transport"
+  ],
+  "commits_list": [
+    {
+      "hash": "74aee8d",
+      "short": "fix(transport): URL-Konstruktion encoded ?-Query nicht mehr",
+      "type": "fix",
+      "scope": "transport",
+      "additions": 9,
+      "deletions": 1,
+      "timestamp": "2026-05-13T17:18:23+02:00"
+    },
+    {
+      "hash": "716509e",
+      "short": "v1.1.0 — Account-Lifecycle in ManaCore",
+      "type": null,
+      "scope": null,
+      "additions": 1226,
+      "deletions": 36,
+      "timestamp": "2026-05-13T19:22:19+02:00"
+    },
+    {
+      "hash": "3459c78",
+      "short": "v1.1.1 — Session-Token statt JWT für Account-Calls",
+      "type": null,
+      "scope": null,
+      "additions": 68,
+      "deletions": 16,
+      "timestamp": "2026-05-13T19:35:57+02:00"
+    },
+    {
+      "hash": "923b5d0",
+      "short": "v1.2.0 — Guest-Mode + Refresh-Resilience",
+      "type": null,
+      "scope": null,
+      "additions": 647,
+      "deletions": 160,
+      "timestamp": "2026-05-13T22:16:08+02:00"
+    },
+    {
+      "hash": "7526b80",
+      "short": "v1.3.0 — 2FA-Login-Challenge",
+      "type": null,
+      "scope": null,
+      "additions": 294,
+      "deletions": 0,
+      "timestamp": "2026-05-14T00:20:05+02:00"
+    },
+    {
+      "hash": "0a79083",
+      "short": "v1.4.0 — 2FA-Enrollment",
+      "type": null,
+      "scope": null,
+      "additions": 306,
+      "deletions": 0,
+      "timestamp": "2026-05-14T00:38:38+02:00"
+    },
+    {
+      "hash": "fe607c1",
+      "short": "v1.5.0 — getProfile() + ProfileInfo",
+      "type": null,
+      "scope": null,
+      "additions": 2876,
+      "deletions": 0,
+      "timestamp": "2026-05-14T01:06:50+02:00"
+    },
+    {
+      "hash": "216d9f8",
+      "short": "chore: untrack accidentally committed build/ + ignore",
+      "type": null,
+      "scope": null,
+      "additions": 1,
+      "deletions": 2682,
+      "timestamp": "2026-05-14T01:07:55+02:00"
+    }
+  ],
+  "review_state": "auto",
+  "llm": {
+    "model": null,
+    "generated_at": null
+  }
+}

devlog/2026-05-13/macher.md

@@ -0,0 +1,101 @@
+---
+date: 2026-05-13
+day: 2
+view: macher
+weekday: Mittwoch
+commits: 8
+review: written
+---
+# Mittwoch, 2026-05-13 — Tag 2 (Macher-Sicht)
+
+Reifung von v1.0.0 zu v1.5.0 in einer Schicht. Sechs Sinn-Abschnitte
+(Transport-Fix, Account-Lifecycle, Session-Token-Auth, Guest-Mode +
+Refresh-Resilience, 2FA-Login, 2FA-Enrollment, Profile) plus ein
+chore-Cleanup. Build-Verzeichnis war versehentlich committet — am
+Ende des Tages aufgeräumt.
+
+## Stats
+
+8 Commits, +5 427 / −2 895 LoC, 408 Files. **Achtung: 2 682 der
+Deletions kamen aus `chore: untrack build/`** — der eigentliche
+Code-Delta ist eher +2 700 / −200. Top-Dirs sind irreführend (alle
+`build/`-Sub-Dirs), weil der Initial-Push das build/ mit hatte.
+Tags: `transport`. Session 15:18 → 01:08, 62 aktive Minuten in
+4 Blöcken, längster Fokus 48 Min.
+
+## Versions-Schritte
+
+- **Transport-Fix** — URL-Konstruktion encoded `?`-Query nicht mehr.
+  Klassischer Bug: Path-Encoding lief gegen Query-String, dadurch
+  `?from=…` als `%3Ffrom%3D…` rausgeschickt. 9 / −1 Zeilen.
+- **v1.1.0 — Account-Lifecycle.** Change-Email, Change-Password,
+  Account-Delete als public API in ManaCore. ViewModels in
+  mana-swift-ui ziehen morgen nach.
+- **v1.1.1 — Session-Token statt JWT für Account-Calls.**
+  Account-Operationen sind sensibel, brauchen frischen
+  Re-Auth-Token, nicht den allgemeinen JWT.
+- **v1.2.0 — Guest-Mode + Refresh-Resilience.** Wenn ein Refresh
+  mit transienten Errors fehlschlägt (Netz-Timeout, 503), bleibt
+  die Session aktiv und retried. Wenn der Refresh hart 401 macht,
+  fällt der State auf `.guest` zurück statt blind alle Tokens zu
+  wipen. **Das war der wichtigste Fix** — vorher hat mobiles Netz
+  Memoro-User regelmäßig rausgeworfen.
+- **v1.3.0 — 2FA-Login-Challenge.** Wenn Login `requires_2fa: true`
+  zurückgibt, dann zweiter Round-Trip mit Code.
+- **v1.4.0 — 2FA-Enrollment.** Enroll-Init (QR-Secret) + Enroll-
+  Verify + Disable mit Passwort + Backup-Code-Regenerate.
+- **v1.5.0 — getProfile() + ProfileInfo.** Name, E-Mail,
+  Mitgliedsstatus, Tier. +2 876 LoC — viel davon vendored swift-
+  jose-Updates, die für RS256-JWKS-Verify nötig waren.
+- **chore: untrack build/** — `.gitignore` für `build/`, vorhandene
+  Tracked-Files raus.
+
+## Architektur-Entscheidungen
+
+- **Session-Token (kurze TTL) für Account-Calls**, nicht der
+  allgemeine JWT. Begründung: bei Account-Delete oder Email-Change
+  wäre ein gestohlener JWT katastrophal; frischer Session-Token
+  begrenzt das Schaden-Fenster.
+- **Refresh-Resilience: transient vs. permanent.** Transiente
+  Errors (Netz, 503, Timeout) halten Session, retry mit Backoff.
+  Permanente Errors (401, invalid_grant) führen zu `.guest`.
+  Vorher: jede Refresh-Failure → Wipe.
+- **Guest-Mode als eigener State**, nicht „signed-out". Apps
+  können Inhalt anzeigen, der Read-Only ist, ohne dass sie eine
+  Login-Wand zeigen müssen.
+- **2FA-API additiv**, kein Breaking-Change. Apps, die kein 2FA
+  unterstützen, ignorieren `requires_2fa`-Field.
+- **ProfileInfo als eigenes DTO**, nicht in AuthClient verbaut.
+  Profile ist datenzentriert, AuthClient ist State-zentriert.
+- **swift-jose vendored**, statt SPM-Dependency. Public-API-
+  Invariante „keine externen Dependencies" (Compliance-Direktive)
+  bleibt.
+
+## Trade-offs
+
+- **+2 876 LoC für v1.5.0** klingt monströs, ist aber zu 80 %
+  vendored swift-jose. Eigentliche Profile-API ist klein.
+- **Sechs Tags an einem Tag** ist viel — bei strikter Semver wäre
+  das eine Tagesserie, kein Sprint. Akzeptiert, weil jeder Tag
+  einen klar abgegrenzten Sinn-Abschnitt hat.
+- **build/-Verzeichnis untracken nachträglich** war Aufwand
+  (2 682 deletions in einem Commit). Ursache: SwiftPM-CLI legt
+  build/ im Repo-Root an, statt unter DerivedData — `.gitignore`
+  hätte Tag 1 schon gehört.
+- **Session-Token-Mechanik** in v1.1.1 nachgeschoben, weil
+  v1.1.0 das nicht hatte. Hätte v1.1.0 direkt richtig machen
+  sollen; akzeptiert als „erste Lernzyklen".
+
+## Offene Punkte
+
+- **Refresh-Resilience Test-Coverage**: Unit-Tests für transiente
+  vs. permanente Fehler-Pfade existieren, aber kein
+  Real-World-Test (instabiles Netz simulieren).
+- **2FA-Backup-Codes-Storage**: ManaCore liefert sie als Strings
+  zurück; UI muss sie sicher anzeigen + kopierbar machen. Liegt
+  bei mana-swift-ui.
+- **getProfile() Cache-Politik**: derzeit kein Cache. Bei häufigen
+  Calls hilft eine kurze TTL.
+- **Schema-Drift gegen mana-auth**: wenn der Server `ProfileInfo`-
+  Schema ändert, gibt's keinen Wire-Check. Pre-Live-Smoke wäre
+  sinnvoll.

devlog/2026-05-13/spieler.md

@@ -0,0 +1,33 @@
+---
+date: 2026-05-13
+day: 2
+view: spieler
+weekday: Mittwoch
+commits: 8
+review: written
+---
+# Mittwoch, 2026-05-13 — Tag 2
+
+Großer Tag für die Vereins-App-Grundlagen. Was alle Vereins-Apps
+gemeinsam haben — Anmelden, Konto-Verwalten, Profil-Anzeigen — ist
+heute stabiler und reicher geworden. Im Hintergrund.
+
+## Was sich für dich in den Apps ändert
+
+- **Du bleibst eingeloggt, auch wenn das Netz mal schwächelt.**
+  Vorher hat eine wackelige Verbindung manchmal den Login
+  rausgeworfen — neu hält die App durch und versucht es nochmal.
+- **Gast-Modus** ist sauber möglich: Du kannst dir eine App ansehen,
+  bevor du dich anmeldest, ohne dass die App dich abwirft.
+- **Konto-Aktionen funktionieren überall gleich** — E-Mail ändern,
+  Passwort wechseln, Konto löschen.
+- **Zwei-Faktor-Schutz** ist nun durchgängig möglich (Login mit Code,
+  Einrichten in den Einstellungen).
+- **Dein Profil** (Name, E-Mail, Mitgliedsstatus) kann von Apps
+  einheitlich angefragt werden.
+
+## Hintergrund
+
+Diese Sachen baut sonst jede App neu — mit kleinen Unterschieden, die
+Menschen verwirren. Heute lagen sie an einem Ort, getestet, dokumentiert,
+versioniert.