till/managarten
1
0
Fork 0
mirror of https://github.com/Memo-2023/mana-monorepo.git synced 2026-05-14 18:01:09 +02:00
Code Issues Projects Releases Packages Wiki Activity Actions 5
managarten/docs/plans/me-images-space-scope-migration.md
Till JS cb9a9bb42e refactor(profile,tool-registry): flip meImages from user-scoped to space-scoped (v40) 
Flips `meImages` out of USER_LEVEL_TABLES so it lives under the same
tenancy model as every other data table (tags, scenes, tasks, …).
Precursor to the Wardrobe module, which is space-scoped across all
six space types — leaving meImages user-global would leave an
inconsistency where the Wardrobe catalog is per-space but its
reference input is cross-space, plus a latent privacy leak in shared
spaces (agents in a brand-space would see the owner's entire pool).

Plan: docs/plans/me-images-space-scope-migration.md.

Key decisions:

- Strict scope, no cross-space fallback. Switching into a brand-space
  with no uploaded face shows an empty state and links back to
  /profile/me-images; it does not quietly reach into the personal-
  space pool. Keeps the mental model clean.
- auth.users.image remains pinned to personal-space primary-avatar.
  Only a primary change inside personal space triggers the Better
  Auth sync; brand/club/family/team/practice primaries stay local.
- Single Dexie v40 upgrade: stamps `spaceId=_personal:<uid>`
  sentinel, `authorId=<uid>`, `visibility='space'` on every existing
  row and drops the legacy `userId` column. Dexie upgrades block app
  startup, so by the time the new code's scopedForModule reads run,
  every row is already space-stamped. reconcileSentinels() on the
  next active-space bootstrap rewrites `_personal:<uid>` to the real
  personal-space id, same path v28 used.
- Legacy-avatar migration (M2.5) now pins its row to
  `_personal:<uid>` explicitly — the legacy avatar is the user's
  global SSO identity and belongs in the personal space even if the
  migration happens to fire while the user is in a brand space.

Code changes:

- types.ts: LocalMeImage gains spaceId/authorId/visibility (all
  optional — stamped by hook). Public MeImage exposes spaceId for
  queries that want to branch on space type.
- database.ts: meImages out of USER_LEVEL_TABLES; new v40 upgrade
  block that stamps sentinels + drops userId in one pass.
- queries.ts: all four hooks (useAllMeImages, useMeImagesByKind,
  useReferenceImages, useImageByPrimary) read via scopedForModule.
  Scope-switch triggers automatic re-render via the existing
  scopedTable filter path.
- stores/me-images.svelte.ts: setPrimaryInTx uses scopedForModule so
  a setPrimary in Brand-space never clears Personal-space's holder.
  syncAvatarToAuth gates on activeSpace.type==='personal' so non-
  personal primary changes don't leak into Better Auth.
  createMeImage accepts optional spaceId override — the legacy-
  avatar migration uses it, regular uploads let the hook stamp the
  active space.
- migration/legacy-avatar.ts: explicitly passes
  spaceId=_personal:<uid> to pin the legacy row into personal space.
- MeImagesView.svelte: subtle badge in the intro card shows the
  active space ("Persönlich" for personal, space name otherwise) so
  users notice when the pool changes on space switch.
- packages/mana-tool-registry/src/modules/me.ts: me.listReferenceImages
  filters pulled rows by row.spaceId === ctx.spaceId. mana-sync
  returns all spaces the user belongs to; the tool only wants the
  active space's subset.

No schema/index change on meImages (non-indexed fields, pool size
small enough for in-memory scopedTable filter). If perf matters
later, adding [spaceId+kind] is a 5-minute follow-up.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-04-23 18:09:57 +02:00

6.9 KiB
Raw Permalink Blame History

meImages — User-Scoped → Space-Scoped Migration

Status (2026-04-23)

Greenfield-Folge-Plan zu me-images-and-reference-generation.md (M1M5 shipped) und Precursor zu wardrobe-module.md. Flippt die meImages-Tabelle von User-Level auf Space-Scoped — einmalige retro-Migration bestehender Zeilen plus Code-Shift in Queries, Store, Avatar-Sync und MCP-Tool.

Warum

Nach der Wardrobe-Entscheidung "alle sechs Space-Typen bekommen wardrobe" ist User-Level-meImages der einzige Sonderfall im System, wo der Input für Space-Daten cross-Space lebt während der Output (Wardrobe-Katalog, Try-On-Ergebnisse in Picture) space-scoped ist. Drei konkrete Gewinne durch Angleichung:

  1. Privacy zwischen Spaces. me.listReferenceImages sieht heute den gesamten User-Pool, egal aus welchem Space gerufen. In einem Brand-Space, der mit einem Geschäftspartner geteilt wird, würden dessen Personas/MCP-Tools potenziell private Selfies zu Gesicht bekommen. Nach Migration: jeder Space sieht nur seinen eigenen Pool.

  2. Kontext-Match. Brand-Space will Studio-Portrait, Personal-Space will Selfie, Club-Space will Action-Shot. Heute: Nutzer muss aus einem Pool die richtige Referenz pro Generation manuell aussuchen. Nachher: jeder Space hat seine 2-3 passenden Referenzen, null Denkarbeit.

  3. Architektur-Kohärenz. Eine Regel weniger zu erklären: alle Daten-Tabellen sind space-scoped, alle Singletons (userSettings, userContext, …) sind user-level.

Die eine Reibung: wer drei Spaces hat, muss potenziell in jeden einmal ein Gesicht hochladen. Für Brand-/Club-Spaces ist das ohnehin erwünscht (anderes Bild als privat). Für Family-Spaces ist der Edge-Case dokumentiert (Try-On nutzt Caller-Identität, nicht Kind).

Entscheidungen

  1. Strikte Scope-Trennung — kein Fallback von Brand-Space auf Personal-Space-Referenzen. Leere Space = explizite Aufforderung zum Upload. Matched Wardrobe-Plan Decision #6.
  2. auth.users.image bleibt an Personal-Space gekoppelt — die globale SSO-Identity ist persönlich. Wer im Brand-Space ein Profilbild setzt, ändert damit sein Brand-Avatar, nicht seinen Better-Auth-Account-Avatar. Konkret: syncAvatarToAuth gatet auf activeSpace.type === 'personal'.
  3. Einmaliger Dexie v40-Upgrade — Sentinel-Stamping (spaceId=_personal:<uid>, authorId=<uid>, visibility='space') plus delete record.userId in einer Version. Kein split auf v40+v41 nötig: Dexie-Upgrade läuft vor App-Start, die neue Code-Version trifft stets auf gestampte Daten. Multi-Tab-Edge-Cases sind benign — alte Tabs nutzen direkten Table-Access (pre-migration), sehen ihre Daten weiter, Reload lädt neue Code-Version.
  4. Bestehende Zeilen → Personal-Space-Sentinel. reconcileSentinels() im Scope-Bootstrap löst die Sentinel automatisch zur echten Personal-Space-ID auf, sobald der Nutzer den Personal-Space lädt. Kein Extra-Code.
  5. Legacy-Avatar-Migration pinnt auf Personal-Space-Sentinel explizit. Der Legacy-Avatar ist per Definition die globale Identity → gehört in Personal-Space, auch wenn der Nutzer die Migration zufällig aus einem Brand-Space triggert.
  6. Keine Schema-Index-Änderungen. meImages-Pools sind klein (typ. 210 Bilder), scopedTable filtert in-memory. Falls später >100 Zeilen pro Nutzer auftauchen, ist [spaceId+kind]-Compound-Index eine eigene ~5-Minuten-Änderung.

Change Matrix

Datei Änderung
apps/mana/apps/web/src/lib/modules/profile/types.ts LocalMeImage bekommt spaceId?, authorId?, visibility?; Public MeImage ebenfalls; in toMeImage() durchreichen
apps/mana/apps/web/src/lib/data/database.ts 'meImages' raus aus USER_LEVEL_TABLES; neuer db.version(40).upgrade(...) block der meImages-Rows mit Sentinel stampt + userId löscht
apps/mana/apps/web/src/lib/modules/profile/queries.ts Alle 4 Hooks (useAllMeImages, useMeImagesByKind, useReferenceImages, useImageByPrimary) lesen via scopedForModule<LocalMeImage, string>('profile', 'meImages')
apps/mana/apps/web/src/lib/modules/profile/stores/me-images.svelte.ts setPrimaryInTx nutzt scopedForModule statt meImagesTable für die Primary-Holder-Suche; createMeImage akzeptiert optional spaceId-Override (für legacy-avatar); syncAvatarToAuth gatet auf getActiveSpace()?.type === 'personal' und nutzt scopedForModule
apps/mana/apps/web/src/lib/modules/profile/migration/legacy-avatar.ts ruft createMeImage mit explizitem spaceId = _personal:<userId> Sentinel
apps/mana/apps/web/src/lib/modules/profile/MeImagesView.svelte dezenter Badge in der Intro-Card: "Pool für: {Space-Name}" damit Nutzer bei Space-Switch merkt, welcher Pool angezeigt wird
packages/mana-tool-registry/src/modules/me.ts me.listReferenceImages filtert nach pullAll client-seitig auf row.spaceId === ctx.spaceId

Migration-Risikoanalyse

  • Multi-Tab während Upgrade: Tab A auf alter Version, Tab B triggert Upgrade → Tab A sieht potenziell Ghost-Records bis Reload. Akzeptabel — Tab A nutzt direkten Table-Access (user-scoped, noch vor scopedForModule), alles bleibt sichtbar für ihn.
  • Kein Personal-Space geladen: Sehr früh nach Login, vor Bootstrap, ist getActiveSpace() null. Stores guarden mit Throw; Queries geben leere Arrays. Kein Data-Loss, nur "noch nichts da"-UI. Bootstrap resolved in < 200ms, Problem lokal und selbstheilend.
  • Bestehender auth.users.image: bleibt wie er ist. Die M2.5-Migration (legacy-avatar.ts) war ein One-Shot; meImages-Zeilen mit primaryFor='avatar' existieren bei Nutzern die vor M2.5 auf der Route waren. Diese werden durch v40 mit spaceId=_personal:<uid> gestampt, reconcileSentinels() rewritet zur echten Personal-Space-ID. Sync-Hook auf Personal-Space holt Primary → schreibt auth.users.image — Wert bleibt identisch, Null-Operation im Happy-Path.
  • ZK-Nutzer: unverändert; die Encryption-Eigenschaften der Tabelle ändern sich nicht (label+tags bleiben encrypted).

Milestones

Ein Commit. Ein atomic git add && git commit.

  • Types extended (spaceId/authorId/visibility auf Local + Public)
  • Dexie v40 upgrade stamped sentinel + drops userId
  • USER_LEVEL_TABLES bereinigt
  • Queries über scopedForModule<>
  • Store setPrimary/setPrimaryInTx scope-aware
  • createMeImage nimmt optional spaceId-Override
  • syncAvatarToAuth gate + scope
  • legacy-avatar.ts stampt Personal-Sentinel
  • MeImagesView Space-Badge
  • MCP tool me.listReferenceImages filter
  • validate:all + type-check web + type-check api + type-check tool-registry + type-check mana-mcp
  • atomic commit

Was NACH der Migration möglich wird

Wardrobe-Modul M1 startet direkt auf der neuen Grundlage, ohne Sonderfall-Ausnahmen für meImages. Try-On in Brand-Space nutzt automatisch die Brand-Space-Referenzen des Nutzers (oder zeigt den Upload-Empty-State). Personas in einem geteilten Space sehen nur die dort freigegebenen Referenzen.