senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions 3

chore: consolidate CI, E2E, backend and frontend updates

Browse source 
- CI: workflows updates (cd, ci), remove playwright.yml
- E2E: global-setup, auth/playlists/profile specs
- Remove playwright-report and test-results artifacts from tracking
- Backend: auth, handlers, services, workers, migrations
- Frontend: components, features, vite config
- Add e2e-results.json to gitignore
- Docs: REMEDIATION_PROGRESS, audit archive
- Rust: chat-server, stream-server updates
This commit is contained in:
senke 2026-02-17 16:43:21 +01:00
parent e27b74130f
commit b103a09a25
150 changed files with 18172 additions and 881 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

21
.github/workflows/cd.yml vendored
View file

@ -48,7 +48,7 @@ jobs:
docker build -t veza-stream-server:${{ github.sha }} .
- name: Trivy vulnerability scan
uses: aquasecurity/trivy-action@master
uses: aquasecurity/trivy-action@0.28.0
with:
image-ref: 'veza-backend-api:${{ github.sha }}'
format: 'table'
@ -56,7 +56,7 @@ jobs:
severity: 'CRITICAL,HIGH'
- name: Trivy scan frontend
uses: aquasecurity/trivy-action@master
uses: aquasecurity/trivy-action@0.28.0
with:
image-ref: 'veza-frontend:${{ github.sha }}'
format: 'table'
@ -64,7 +64,7 @@ jobs:
severity: 'CRITICAL,HIGH'
- name: Trivy scan chat server
uses: aquasecurity/trivy-action@master
uses: aquasecurity/trivy-action@0.28.0
with:
image-ref: 'veza-chat-server:${{ github.sha }}'
format: 'table'
@ -72,7 +72,7 @@ jobs:
severity: 'CRITICAL,HIGH'
- name: Trivy scan stream server
uses: aquasecurity/trivy-action@master
uses: aquasecurity/trivy-action@0.28.0
with:
image-ref: 'veza-stream-server:${{ github.sha }}'
format: 'table'
@ -111,23 +111,26 @@ jobs:
if: ${{ secrets.DOCKER_REGISTRY != '' && secrets.COSIGN_PRIVATE_KEY != '' }}
env:
COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
run: |
echo "${{ secrets.COSIGN_PRIVATE_KEY }}" > cosign.key
for svc in veza-backend-api veza-frontend veza-chat-server veza-stream-server; do
cosign sign --key cosign.key --yes "${{ secrets.DOCKER_REGISTRY }}/${svc}:${{ github.sha }}"
cosign sign --key cosign.key --yes "${{ secrets.DOCKER_REGISTRY }}/${svc}:latest"
cosign sign --key env://COSIGN_PRIVATE_KEY --yes "${{ secrets.DOCKER_REGISTRY }}/${svc}:${{ github.sha }}"
cosign sign --key env://COSIGN_PRIVATE_KEY --yes "${{ secrets.DOCKER_REGISTRY }}/${svc}:latest"
done
- name: Deploy to Kubernetes
if: ${{ secrets.KUBE_CONFIG != '' }}
run: |
mkdir -p ~/.kube
echo "${{ secrets.KUBE_CONFIG }}" | base64 -d > ~/.kube/config
KUBECONFIG="${{ runner.temp }}/kubeconfig"
echo "${{ secrets.KUBE_CONFIG }}" | base64 -d > "$KUBECONFIG"
chmod 600 "$KUBECONFIG"
export KUBECONFIG
for svc in veza-backend-api veza-chat-server veza-stream-server; do
kubectl set image "deployment/${svc}" "${svc}=${{ secrets.DOCKER_REGISTRY }}/${svc}:${{ github.sha }}" \
-n veza --record || echo "Skipping ${svc} (deployment not found)"
done
kubectl rollout status deployment/veza-backend-api -n veza --timeout=300s || true
rm -f "$KUBECONFIG"
- name: Deployment Summary
run: |

1
.github/workflows/ci.yml vendored
View file

@ -262,6 +262,7 @@ jobs:
CORS_ALLOWED_ORIGINS: http://veza.fr:5173,http://veza.fr:5174,http://localhost:5173,http://localhost:5174
RABBITMQ_URL: amqp://veza:devpassword@localhost:15672/
DISABLE_RATE_LIMIT_FOR_TESTS: "true"
ACCOUNT_LOCKOUT_EXEMPT_EMAILS: "e2e@test.com"
run: |
cd veza-backend-api
go build -o veza-api ./cmd/api/main.go

30
.github/workflows/playwright.yml vendored
View file

@ -1,30 +0,0 @@
name: Playwright Tests
on:
push:
branches: [ main, master ]
pull_request:
branches: [ main, master ]
jobs:
test:
timeout-minutes: 60
runs-on: ubuntu-latest
defaults:
run:
working-directory: apps/web
steps:
- uses: actions/checkout@v4
- uses: actions/setup-node@v4
with:
node-version: lts/*
- name: Install dependencies
run: npm ci
- name: Install Playwright Browsers
run: npx playwright install --with-deps
- name: Run Playwright tests
run: npx playwright test
- uses: actions/upload-artifact@v4
if: ${{ !cancelled() }}
with:
name: playwright-report
path: playwright-report/
retention-days: 30

1
.gitignore vendored
View file

@ -108,6 +108,7 @@ config/incus/env/*.env
# Playwright
/test-results/
/playwright-report/
apps/web/e2e-results.json
/blob-report/
/playwright/.cache/
/playwright/.auth/

370
103_RAPPORT_ETAT_FEATURES_2026_02_16.md Normal file
View file

@ -0,0 +1,370 @@
# Rapport d'état précis des features — Veza
**Date** : 16 février 2026
**Méthode** : Analyse du code source (backend routes, frontend services, migrations DB, tests)
---
## 1. CARTOGRAPHIE GLOBALE — ÉTAT PRÉCIS
### 1.1 Stack
| Couche | Technologie | Version | Fichiers clés |
|--------|-------------|---------|---------------|
| Frontend | React + Vite | 18.2 / 7.1.5 | `apps/web/package.json` |
| Backend | Go + Gin | 1.24 / 1.11 | `veza-backend-api/go.mod` |
| Chat | Rust + Axum | 0.8 | `veza-chat-server/Cargo.toml` |
| Stream | Rust + Axum | 0.8 | `veza-stream-server/Cargo.toml` |
| DB | PostgreSQL | 16 | `docker-compose.prod.yml` |
| Cache | Redis | 7 | idem |
| Queue | RabbitMQ | 3 | idem |
### 1.2 Organisation du repo
- **apps/web** : Frontend React (features/, services/, mocks/)
- **veza-backend-api** : API REST (router principal : `internal/api/router.go`)
- **veza-chat-server** : WebSocket chat
- **veza-stream-server** : Streaming audio
- **veza-common** : Lib Rust partagée
- **packages/** : NPM packages partagés
### 1.3 Point d'entrée API
Le routeur **actif** est `APIRouter` dans `internal/api/router.go`.
Le fichier `api_manager.go` est **exclu de la compilation** (`//go:build ignore`) — tout ce qu'il contient (achievements, leaderboard, GraphQL, gRPC, etc.) est du **code mort**.
---
## 2. ÉTAT PRÉCIS DE CHAQUE FEATURE
### 2.1 Auth (register, login, JWT, refresh)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ Complet | `routes_auth.go` : register, login, refresh, logout, /me, 2FA, OAuth, password reset |
| Frontend | ✅ Complet | `authStore`, `LoginForm`, `TwoFactorVerify`, `ProtectedRoute` |
| DB | ✅ | Tables users, sessions, refresh_tokens, email_verification_tokens |
| Tests | ✅ | `auth_handler_test.go`, `auth_integration_test.go`, `LoginForm.stories` |
| Sécurité | ✅ | JWT iss/aud/exp, token version, bcrypt cost 12, rate limit login |
**Verdict** : **Opérationnel**
---
### 2.2 2FA (TOTP)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `TwoFactorHandler` : setup, verify, disable, status |
| Frontend | ✅ | `TwoFactorSetup.tsx`, `TwoFactorVerify.tsx` |
| DB | ✅ | Colonnes two_factor_enabled, two_factor_secret, backup_codes |
| Tests | ✅ | `two_factor_handler_test.go` |
**Verdict** : **Opérationnel**
---
### 2.3 OAuth (Google, GitHub, Discord)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `OAuthHandler` : providers, initiate, callback |
| Frontend | ✅ | Boutons OAuth, callback handling |
| DB | ✅ | oauth_accounts, users |
**Verdict** : **Opérationnel**
---
### 2.4 Profils utilisateur
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_users.go` : GET/PUT/DELETE /users/:id, settings, avatar, follow, block |
| Frontend | ✅ | `ProfileView`, `ProfilePage`, `useUser` |
| DB | ✅ | users, user_profiles, user_settings |
**Verdict** : **Opérationnel**
---
### 2.5 Upload de tracks (chunked)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_tracks.go` : initiate, chunk, complete, resume, quota |
| Frontend | ✅ | `trackService`, upload flow |
| DB | ✅ | tracks, track_uploads |
| Sécurité | ✅ | RequireContentCreatorRole, ClamAV optionnel |
**Verdict** : **Opérationnel**
---
### 2.6 CRUD Tracks
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | GET/PUT/DELETE tracks, comments, likes, share, versions, play |
| Frontend | ✅ | `trackService`, `LibraryPage`, `TrackDetailPage` |
| DB | ✅ | tracks, track_comments, track_likes |
**Verdict** : **Opérationnel**
---
### 2.7 Playlists (CRUD, collaboration)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_playlists.go` : CRUD, collaborators, tracks |
| Frontend | ✅ | `playlistService`, `PlaylistDetailPage` |
| DB | ✅ | playlists, playlist_collaborators, playlist_tracks |
**Verdict** : **Opérationnel**
---
### 2.8 Chat WebSocket
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_chat.go` : POST /chat/token, GET /chat/stats |
| Chat Server | ✅ | Rust, compile OK |
| Frontend | ✅ | `ChatView`, WebSocket client |
| DB | ✅ | chat_messages (Chat Server) |
**Verdict** : **Opérationnel** (Chat Server doit être démarré)
---
### 2.9 Dashboard
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_core.go:319` : GET /dashboard, `DashboardHandler` |
| Frontend | ✅ | `dashboardService.getDashboardData()` → apiClient.get('/dashboard') |
| MSW | ✅ | Mock dans `handlers-admin.ts` (fallback Storybook) |
**Note** : FEATURE_STATUS.md indiquait "MSW" — **faux**. Le backend expose bien `/api/v1/dashboard`.
**Verdict** : **Opérationnel**
---
### 2.10 Recherche
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `TrackSearchService`, endpoints search |
| Frontend | ✅ | `SearchPage`, `searchService` |
**Verdict** : **Opérationnel**
---
### 2.11 Social (feed, posts, groups, follows, blocks)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_social.go` : feed, posts, groups, like, comments, join/leave |
| Frontend | ✅ | `SocialView`, `useSocialView` |
| DB | ✅ | posts, social_groups, user_follows, user_blocks |
**Verdict** : **Opérationnel**
---
### 2.12 Administration
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_core.go` : admin group, RequireAdmin |
| Frontend | ✅ | `AdminDashboardPage`, `adminService` |
| Audit | ✅ | audit/logs, audit/stats |
**Verdict** : **Opérationnel**
---
### 2.13 Marketplace
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_marketplace.go` : products, cart, orders, licenses |
| Frontend | ✅ | `MarketplacePage`, `Cart`, `PurchasesView` |
| Paiement | ✅ | Hyperswitch intégré |
| DB | ✅ | marketplace_products, orders, licenses |
**Verdict** : **Opérationnel**
---
### 2.14 Webhooks
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_webhooks.go` : CRUD, regenerate-key, test, stats |
| Frontend | ✅ | `webhookService.ts` (apiClient), `WebhooksView` |
| DB | ✅ | webhooks |
**Note** : `webhookApi.ts` supprimé — remplacé par `webhookService.ts` qui appelle l'API directement.
**Verdict** : **Opérationnel**
---
### 2.15 Inventory / Gear
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_gear.go` : GET/POST/PUT/DELETE /inventory/gear |
| Frontend | ✅ | `gearService.ts`, `GearView`, `GearPage` |
| DB | ✅ | Migration 076 : `gear_items` |
| MSW | ✅ | Mock dans `handlers-misc.ts` (Storybook) |
**Note** : FEATURE_STATUS.md indiquait "UI + mocks, pas de backend" — **faux**. Backend complet.
**Verdict** : **Opérationnel**
---
### 2.16 Live Streaming
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_live.go` : GET /live/streams, GET /live/streams/:id, POST (auth) |
| Frontend | ✅ | `liveService.ts`, `LiveView`, `LivePage` |
| DB | ✅ | Migration 077 : `live_streams` |
| MSW | ✅ | Mock dans `handlers-misc.ts` |
**Note** : Le streaming vidéo réel (WebRTC/HLS) est géré par le Stream Server. Les routes backend gèrent les **métadonnées** des streams (titre, description, is_live).
**Verdict** : **Opérationnel** (métadonnées). Stream vidéo dépend du Stream Server.
---
### 2.17 Analytics
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_analytics.go` : tracks plays, top, dashboard |
| Frontend | ✅ | `AnalyticsView`, `useAnalyticsView` |
| DB | ✅ | track_plays, analytics events |
**Verdict** : **Opérationnel**
---
### 2.18 Roles
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `setupRoleRoutes` : assign, revoke |
| Frontend | ✅ | `AssignRoleModal`, `RolesPage` |
| DB | ✅ | roles, user_roles |
**Verdict** : **Opérationnel**
---
### 2.19 Notifications
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ✅ | `routes_core.go` : GET/POST/DELETE /api/v1/notifications, unread-count, read, read-all. Création auto pour follow, like, comment (Phase 2.2) |
| Frontend | ✅ | `NotificationsPage`, `notificationService` |
| DB | ✅ | Table `notifications` (migration 047) |
**Verdict** : **Opérationnel**
---
### 2.20 Gamification (achievements, leaderboard)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ❌ Code mort | `api_manager.go` (build ignore) : handleGetAchievements, handleGetLeaderboard |
| Frontend | ⚠️ Composants | Storybook : AchievementCard, LeaderboardView, XPBar — pas de route /gamification |
| MSW | ? | Handlers gamification possibles dans mocks |
**Verdict** : **Fantôme** — api_manager désactivé, pas de route active
---
### 2.21 Studio (Cloud File Browser)
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ❌ | Aucune route |
| Frontend | ❌ | Dossier `features/studio/` **n'existe pas** (supprimé) |
**Verdict** : **Supprimé**
---
### 2.22 Education
| Aspect | État | Preuve |
|--------|------|--------|
| Backend | ❌ | Aucune route |
| Frontend | ❌ | Dossier `features/education/` **n'existe pas** (supprimé) |
**Verdict** : **Supprimé**
---
## 3. RÉCAPITULATIF
### Features opérationnelles (19)
Auth, 2FA, OAuth, Profils, Upload tracks, CRUD tracks, Playlists, Chat, Dashboard, Recherche, Social, Admin, Marketplace, Webhooks, Gear, Live (métadonnées), Analytics, Roles, Notifications.
### Features partielles (0)
Aucune.
### Features fantômes (1)
Gamification — code dans api_manager (mort), composants Storybook.
### Features supprimées (2)
Studio, Education — dossiers supprimés.
---
## 4. INCOHÉRENCES DOCUMENTATION / CODE
| Document | Affirmation | Réalité |
|----------|-------------|---------|
| FEATURE_STATUS.md | Dashboard : MSW | Backend réel GET /dashboard |
| FEATURE_STATUS.md | Inventory : pas de backend | Backend complet /inventory/gear |
| FEATURE_STATUS.md | Live : contenu minimal | Backend complet /live/streams |
| FEATURE_STATUS.md | Studio : UI seule | Dossier supprimé |
| FEATURE_STATUS.md | Education : MSW | Dossier supprimé |
**Recommandation** : Mettre à jour `docs/FEATURE_STATUS.md` et `apps/web/docs/FEATURE_STATUS.md`.
---
## 5. FICHIERS CRITIQUES PAR FEATURE
| Feature | Backend | Frontend service | Route |
|---------|---------|------------------|-------|
| Auth | routes_auth.go | authStore | /auth/* |
| Tracks | routes_tracks.go | trackService | /tracks/* |
| Playlists | routes_playlists.go | playlistService | /playlists/* |
| Chat | routes_chat.go | - | /chat/* |
| Dashboard | routes_core.go | dashboardService | /dashboard |
| Social | routes_social.go | - | /social/* |
| Marketplace | routes_marketplace.go | - | /marketplace/* |
| Webhooks | routes_webhooks.go | webhookService | /webhooks/* |
| Gear | routes_gear.go | gearService | /inventory/gear |
| Live | routes_live.go | liveService | /live/streams |
| Analytics | routes_analytics.go | - | /analytics/* |
| Roles | routes_users.go | - | /users/:id/roles |
---
*Rapport généré le 16 février 2026*

737
103_audit_global_features_states.md Normal file
View file

@ -0,0 +1,737 @@
I now have all the data needed. Let me write the comprehensive audit report.
---
# 🔍 AUDIT COMPLET DU MONOREPO VEZA
**Date** : 16 février 2026
**Auditeur** : Architecte IA senior
**Scope** : Monorepo complet (`veza-backend-api`, `veza-chat-server`, `veza-stream-server`, `veza-common`, `apps/web`)
---
## PARTIE 1 — ÉTAT DE STABILITÉ
---
### 1.1 Santé du code
#### Go Backend (`veza-backend-api/`) ✅
| Critère | Statut | Détail |
|---------|--------|--------|
| Compilation (`go build ./...`) | ✅ Passe | 0 erreur, 0 warning |
| Vet (`go vet ./...`) | ✅ Passe | 0 issue |
| Imports cassés | ✅ Aucun | — |
| `.env.template` | ✅ Documenté | Complet avec validation rules |
| Secrets hardcodés | ✅ Aucun | Tous via env vars, masqués dans logs |
**TODOs/FIXMEs critiques (P1) — 7 items :**
| Fichier | Ligne | Description |
|---------|-------|-------------|
| `internal/core/track/handler.go` | ~340 | `TODO(P2-GO-004)`: `trackUploadService` attend `int64`, reçoit `uuid.UUID` — migration UUID incomplète |
| `internal/core/track/handler.go` | ~355 | `TODO(P2-GO-004)`: même problème, `GetUploadProgress()` incompatible UUID |
| `internal/repositories/playlist_collaborator_repository.go` | ~67 | `FIXME`: modèle `PlaylistCollaborator` doit utiliser UUID |
| `internal/services/playlist_version_service.go` | ~73 | `FIXME`: `PlaylistVersion` ID types à vérifier |
| `internal/services/track_history_service.go` | ~74 | `FIXME`: `TrackHistory` needs UUID migration |
| `internal/services/playlist_service.go` | ~216 | `FIXME`: `PlaylistVersionService` needs UUID update |
| `internal/handlers/auth_handler_test.go` | 225 | `FIXME`: test attend `StatusForbidden` mais l'implémentation permet login non-vérifié |
**TODOs P2 (18 items)** — les plus notables :
| Fichier | Description |
|---------|-------------|
| `internal/services/job_service.go` | Job queue non connectée (5 TODOs BE-SVC-003) — pas d'async processing |
| `internal/database/database.go` | OAuth user lookup non implémenté (3 TODOs) |
| `internal/handlers/oauth_handlers.go` | `frontendURL` fallback hardcodé `http://localhost:5173` |
| `internal/config/middlewares_init.go:75` | Configuration CORS à améliorer |
| `internal/api/admin/service.go` | Admin service partiellement implémenté (3 TODOs) |
#### Rust Chat Server (`veza-chat-server/`) ✅
| Critère | Statut | Détail |
|---------|--------|--------|
| Compilation (`cargo check`) | ✅ Passe | 0 erreur, 0 warning |
| Protobuf | ✅ | Utilise fichiers pré-générés |
| `.env.lab.example` | ⚠️ Minimal | Seul un template lab, pas de `.env.example` standard |
**TODOs (3 items) :**
- `src/read_receipts.rs:230` — TODO: tracking "delivered" non implémenté
- `src/presence.rs:226` — TODO: intégration push notifications (FCM, APNs)
- `src/message_handler.rs:327` — TODO: recherche de salon par nom
#### Rust Stream Server (`veza-stream-server/`) ✅
| Critère | Statut | Détail |
|---------|--------|--------|
| Compilation (`cargo check`) | ✅ Passe | 0 erreur, 0 warning |
| Protobuf | ✅ | Utilise fichiers pré-générés |
| `.env.example` | ✅ Documenté | Variables bien documentées |
| `#![allow(dead_code)]` | ⚠️ | Code mort autorisé dans `lib.rs` |
**Point critique** : le client gRPC vers le backend Go (`src/grpc/mod.rs`) est un **stub**`attempt_send()` fait juste un `sleep`, il n'envoie rien réellement.
#### Rust Common (`veza-common/`) ✅
| Critère | Statut |
|---------|--------|
| Compilation | ✅ Passe |
| TODOs | ✅ Aucun |
#### Frontend React (`apps/web/`) ✅
| Critère | Statut | Détail |
|---------|--------|--------|
| TypeScript (`tsc --noEmit`) | ✅ Passe | 0 erreur |
| Build Vite | ✅ Passe | — |
| `.env.example` | ✅ Documenté | Complet avec feature flags |
**TODOs notables :**
- `src/services/analyticsService.ts:92-97` — endpoints analytics non implémentés côté backend, retournent des valeurs vides
- `src/config/features.ts:50` — HLS endpoints marqués "NOT IMPLEMENTED"
- `src/features/user/components/profile/ProfileSecurity.tsx:12` — "Placeholder for profile security"
---
### 1.2 Points bloquants fonctionnels
| Module | Statut | Détail |
|--------|--------|--------|
| **Auth** | ✅ Fonctionnel | Register → verify email → login → refresh → logout → 2FA TOTP : flow complet. OAuth Google/GitHub opérationnel. Sessions management complet (list/revoke/logout-all). |
| **Profils** | ✅ Fonctionnel | Création, édition, avatar upload, profil public (`/u/:username`), social links, paramètres. Toutes les routes connectées frontend ↔ backend. |
| **Upload & Fichiers** | ⚠️ Partiel | Upload simple ✅, upload chunked ✅, validation MIME/taille ✅, métadonnées extraites ✅. **Manque** : transcoding async (job queue stub), HLS transcoding désactivé (feature flag `false`). |
| **Streaming/Lecteur** | ⚠️ Partiel | Play/pause/seek/next/volume/shuffle/repeat ✅ via `<audio>` HTML5. Waveform visualizer ✅. Queue management ✅. **Manque** : HLS adaptive streaming désactivé, gRPC stream server est un stub, crossfade/gapless non implémentés. |
| **Playlists** | ✅ Fonctionnel | CRUD complet ✅, ajout/retrait tracks ✅, réorganisation ✅, collaboration ✅, share links ✅, export JSON/CSV ✅, duplication ✅. |
| **Chat** | ⚠️ Partiel | WebSocket connection ✅, envoi/réception messages ✅, conversations ✅, typing indicators ✅, reactions ✅. **Manque** : read receipts partiels (TODO), delivered status (TODO), recherche salon par nom (TODO). Communication avec Go backend via HTTP (pas gRPC). |
| **Marketplace** | ✅ Fonctionnel | Création produit ✅, catalogue ✅, panier ✅, wishlist ✅, commandes ✅. Checkout via Hyperswitch (optionnel). Téléchargement post-achat ✅. |
| **Recherche** | ✅ Fonctionnel | Recherche globale tracks/users/playlists ✅, autocomplete ✅. Filtres par type ✅. |
---
### 1.3 Points bloquants techniques
#### Base de données ⚠️
- **42 migrations** bien structurées, idempotentes, avec `IF NOT EXISTS`
- **Migration UUID incomplète** : 6 FIXMEs dans le backend indiquent que certains services (`trackUploadService`, `PlaylistCollaborator`, `PlaylistVersion`, `TrackHistory`) utilisent encore `int64` au lieu de `uuid.UUID`. Cela compile (Go est permissif avec les conversions) mais peut causer des bugs runtime.
- Pas de conflits de migrations détectés
#### API — Routes orphelines ⚠️
**Backend non consommé par le frontend :**
- `POST /api/v1/tracks/initiate` (chunked upload initiate) — frontend utilise directement `/tracks/chunk`
- `POST /api/v1/tracks/complete` (chunked upload complete) — même remarque
- `GET /api/v1/tracks/resume/:uploadId` — pas de UI de reprise d'upload
- `POST /api/v1/tracks/batch/delete` et `POST /api/v1/tracks/batch/update` — pas de UI batch
- `GET /api/v1/tracks/shared/:token` — pas de page de partage par token
- `GET /api/v1/users/me/export` — endpoint existe, pas de bouton export dans l'UI
- `POST /api/v1/audit/cleanup` — pas d'UI admin pour cleanup
**Frontend appelle des endpoints qui n'existent pas côté backend :**
- `POST /api/v1/roles` (création de rôle) — le backend n'a que `GET /roles` et `GET /roles/:id`
- `PUT /api/v1/roles/:id`, `DELETE /api/v1/roles/:id` — idem
- `GET /api/v1/social/feed`, `POST /api/v1/social/posts` — pas de routes social dans le backend (uniquement follow/block)
- `GET /api/v1/social/groups/*` — pas de routes groupes dans le backend
- `GET /api/v1/inventory/gear/*` — pas de routes inventaire dans le backend
- `GET /api/v1/live/streams/*` — pas de routes live dans le backend
- `GET /api/v1/search` — le backend utilise `/tracks/search`, `/users/search`, pas un endpoint unifié `/search`
#### Sécurité ✅
- JWT correctement validé via middleware auth
- CORS configuré (origines spécifiques, pas de wildcard)
- CSRF protection via middleware + tokens
- Security headers complets (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
- Rate limiting multi-couche (global, par endpoint, par utilisateur)
- SQL injection protection (GORM parameterized queries)
- Secret masking dans les logs
- Aucun secret hardcodé en production (seuls des fallbacks dev dans le code)
#### Services Rust ⚠️
- **Compilation** : ✅ Les deux compilent sans erreur
- **Dépendances Cargo** : ✅ Résolues
- **Communication avec Go** : 🔴 Le stream server utilise un **stub gRPC**`attempt_send()` ne fait qu'un `sleep`. Le chat server communique via HTTP vers le backend Go (fonctionnel mais pas gRPC comme prévu).
#### Docker ✅
- `docker-compose.yml` bien structuré : Postgres 16, Redis 7, RabbitMQ 3, backend-api, Hyperswitch (optionnel)
- Health checks sur tous les services
- Resource limits configurés
- Ports isolés (15xxx/16xxx pour éviter les conflits)
- Fichiers Dockerfile dev et production pour chaque service
#### Frontend — Tests ⚠️
**Tests unitaires (Vitest)** :
- **271/273 fichiers passent** (99.3%)
- **3306/3318 tests passent** (99.6%)
- **2 fichiers échouent** :
1. `src/features/tracks/components/LikeButton.test.tsx` — 11 tests en échec : `aria-label` attend `"Retirer le like"` mais reçoit `"Retirer des favoris"` (problème de label i18n)
2. `src/context/ToastContext.test.tsx` — 1 test en échec : `TypeError: (0, default) is not a function` dans `ToastProvider.tsx:40` (import cassé de `react-hot-toast`)
**Tests E2E (Playwright)** :
- Dernière exécution : **36 tests échoués** (sur un nombre indéterminé — la dernière run a échoué en setup à cause d'un conflit de port 5173)
- Configuration : 4 browsers (Chromium, Firefox, WebKit, Edge), 1 worker, timeout 60s
#### Logs & Observabilité ✅
- Logging structuré : `zap` (Go), `tracing` (Rust)
- Prometheus metrics sur tous les services
- Sentry integration (Go backend, frontend)
- Health checks : `/health`, `/healthz`, `/readyz`, `/api/v1/status`
- Health check détaillé vérifie : DB, Redis, RabbitMQ, S3, chat server, stream server
- Audit logs complets avec recherche
---
### 1.4 Synthèse stabilité
```
PRIORITÉ CRITIQUE (bloque le lancement) :
1. gRPC Stream Server stub — Le stream server ne communique pas réellement avec
le backend Go, la chaîne upload→transcode→stream est cassée.
Fichier: veza-stream-server/src/grpc/mod.rs
Effort: 8h
2. Routes API frontend ↔ backend désalignées — Le frontend appelle des endpoints
inexistants (/social/feed, /social/groups, /inventory/gear, /live/streams, /search).
Ces pages fonctionnent uniquement grâce aux mocks MSW.
Fichiers: apps/web/src/services/socialService.ts, gearService.ts, liveService.ts, searchService.ts
Effort: 16h (créer les routes backend) ou 4h (retirer les pages du routeur)
3. Job Queue non connectée — Les tâches async (transcoding, email, thumbnails) ne
s'exécutent pas en background. Le service existe mais est un shell vide.
Fichier: veza-backend-api/internal/services/job_service.go
Effort: 8h
PRIORITÉ HAUTE (dégrade l'expérience) :
1. Migration UUID incomplète — 6 services utilisent encore int64, risque de bugs
runtime sur upload progress, playlist collaborators, track history.
Fichiers: internal/core/track/handler.go:340, internal/services/playlist_*.go,
internal/repositories/playlist_collaborator_repository.go
Effort: 6h
2. HLS Streaming désactivé — Le lecteur audio ne supporte que le playback direct
(pas d'adaptive bitrate). Feature flag HLS_STREAMING=false.
Fichiers: apps/web/src/config/features.ts, veza-stream-server/
Effort: 12h
3. Tests LikeButton et ToastContext cassés — 12 tests unitaires échouent.
Fichiers: apps/web/src/features/tracks/components/LikeButton.test.tsx,
apps/web/src/context/ToastContext.test.tsx
Effort: 1h
4. Tests E2E non fiables — 36 échecs, configuration port conflict.
Fichier: apps/web/playwright.config.ts (reuseExistingServer: false)
Effort: 4h
PRIORITÉ MOYENNE (acceptable pour un PoC) :
1. Chat read receipts et delivered status — TODOs non implémentés
Fichiers: veza-chat-server/src/read_receipts.rs, src/delivered_status.rs
Effort: 4h
2. OAuth Discord/Spotify non implémentés — Seuls Google et GitHub fonctionnent
Fichiers: veza-backend-api/internal/handlers/oauth_handlers.go
Effort: 4h par provider
3. Admin service partiellement implémenté (3 TODOs)
Fichier: veza-backend-api/internal/api/admin/service.go
Effort: 4h
4. Analytics backend partiellement stub — Certains endpoints retournent des données vides
Fichier: apps/web/src/services/analyticsService.ts:92-97
Effort: 6h
5. Studio et Education supprimés — Features planifiées mais code retiré
Impact: Aucun pour le PoC (Tier 2)
Effort: 0h (décision produit)
```
---
## PARTIE 2 — PROGRESSION VERS L'OBJECTIF FINAL (600 FEATURES)
---
### 2.1 Matrice de couverture par module
> **Note** : Le document TIER 0 mentionne "40 features" mais les ranges listées (`1-10, 31-45, 66-90, 106-135, 151-175, 186-200, 226-250, 351-365, 411-425, 436-450`) contiennent en réalité **190 features**. J'utilise les ranges comme référence.
---
## Module 1 : Auth & Sécurité — 18/30 features (60%)
### Implémentées ✅ (backend + frontend connectés) :
- #1 : Inscription email/password ✅
- #2 : Validation email ✅
- #3 : Connexion email/password ✅
- #4 : OAuth Google ✅
- #5 : OAuth GitHub ✅
- #9 : Logout ✅
- #10 : Logout all devices ✅
- #11 : Reset password par email ✅
- #17 : Blocage après tentatives (rate limiting) ✅
- #19 : 2FA TOTP ✅
- #23 : Session management ✅
- #28 : Rate limiting connexion ✅
### Partiellement implémentées ⚠️ :
- #8 : Remember me ⚠️ — Cookies persistent mais pas de checkbox UI explicite
- #12 : Changement password (authentifié) ⚠️ — Endpoint frontend existe, backend probablement aussi
- #14 : Force du mot de passe ⚠️ — Validation Zod côté frontend, indicateur visuel partiel
- #21 : Codes backup 2FA ⚠️ — Modèle `recovery_code.go` existe, UI incomplète
- #26 : Historique connexions ⚠️ — Via audit logs, pas de page dédiée
- #30 : Détection bruteforce ⚠️ — Via rate limiting, pas de détection spécifique
### Non implémentées ❌ :
- #6 : OAuth Discord ❌
- #7 : OAuth Spotify ❌
- #13 : Historique passwords ❌
- #15 : Politique passwords configurable ❌
- #16 : Expiration password ❌
- #18 : Notification changement password ❌
- #20 : 2FA SMS ❌
- #22 : Passkeys/WebAuthn ❌
- #24 : Notifications connexion inhabituelle ❌
- #25 : Géolocalisation connexions ❌
- #27 : IP whitelisting ❌
- #29 : CAPTCHA ❌
---
## Module 2 : Profils & Utilisateurs — 18/35 features (51%)
### Implémentées ✅ :
- #31 : Avatar upload ✅
- #33 : Username unique ✅
- #34 : Nom complet ✅
- #35 : Bio/description ✅
- #39 : Langue préférée ✅
- #41 : URL profil (/u/username) ✅
- #44 : Liens réseaux sociaux ✅
- #46 : Rôle User ✅
- #47 : Rôle Artist ✅
- #51 : Rôle Modérateur ✅
- #52 : Rôle Admin ✅
- #53 : Permissions granulaires ✅
- #58 : Changement langue UI ✅
- #59 : Thème clair/sombre/auto ✅
- #65 : Supprimer compte (GDPR) ✅
### Partiellement implémentées ⚠️ :
- #32 : Bannière profil ⚠️ — Modèle existe probablement, pas de route dédiée
- #36 : Localisation ⚠️ — Champ probable dans user model
- #42 : Profil public/privé ⚠️ — Paramètres de confidentialité existent
- #56 : Changer email ⚠️ — Endpoint probable
- #57 : Changer username ⚠️ — Via PUT /users/:id
- #60-62 : Notifications on/off ⚠️ — Paramètres existent, implémentation partielle
- #63-64 : Préférences confidentialité/visibilité ⚠️ — Settings partiels
### Non implémentées ❌ :
- #37 : Date de naissance ❌
- #38 : Genre ❌
- #40 : Fuseau horaire ❌
- #43 : Email contact public ❌
- #45 : Badges/achievements ❌
- #48 : Rôle Producer ❌ (distinct d'Artist)
- #49 : Rôle Label ❌
- #50 : Rôle Formateur ❌
- #54 : Système vérification (badge vérifié) ❌
- #55 : KYC ❌
---
## Module 3 : Gestion de Fichiers — 14/40 features (35%)
### Implémentées ✅ :
- #66 : Upload fichier unique ✅
- #67 : Upload multiple (batch) ✅
- #71 : Progress bar upload ✅
- #73 : Validation taille ✅
- #74 : Validation type MIME ✅
- #79 : Extraction métadonnées ✅
- #81-86 : Formats MP3, WAV, FLAC, OGG, AIFF, M4A ✅
- #91-94 : Titre, Artiste, Album, Genre ✅
- #97 : Durée ✅
- #103 : Cover art upload ✅
- #104 : Tags personnalisés ✅
### Partiellement implémentées ⚠️ :
- #68 : Drag & drop ⚠️ — Probable via composant upload
- #72 : Pause/resume upload ⚠️ — Chunked upload existe mais UI incomplète
- #77 : Transcoding auto ⚠️ — Job queue stub, transcoding pipeline Rust existe mais non connecté
- #95 : BPM ⚠️ — Modèle existe, extraction auto incertaine
- #96 : Key musicale ⚠️ — Idem
- #98 : Date de sortie ⚠️ — Champ métadonnée probable
- #105 : Tags suggérés ⚠️ — Autocomplete partiel
### Non implémentées ❌ :
- #69 : Upload par URL ❌
- #70 : Upload depuis cloud (Dropbox/Drive) ❌
- #75 : Scan antivirus ❌ (ClamAV configuré mais `ENABLE_CLAMAV=false`)
- #76 : Compression auto images ❌
- #78 : Thumbnails auto ❌ (job queue stub)
- #80 : Watermarking ❌
- #87-88 : Archives ZIP/RAR ❌
- #89 : Documents PDF ❌
- #90 : Presets VST ❌
- #99-102 : Label, ISRC, Copyright, Lyrics ❌
---
## Module 4 : Streaming Audio — 16/45 features (36%)
### Implémentées ✅ :
- #106 : Play/pause ✅
- #107 : Next track ✅
- #108 : Previous track ✅
- #109 : Seek ✅
- #110 : Volume control ✅
- #111 : Mute/unmute ✅
- #112 : Shuffle ✅
- #113 : Repeat (off/track/playlist) ✅
- #117 : Waveform visualizer ✅
- #122 : Raccourcis clavier ✅ (Media Session API)
- #126 : Queue management ✅
- #127 : Ajouter à la queue ✅
- #128 : Retirer de la queue ✅
- #131 : Vider la queue ✅
- #136 : Créer playlist ✅
- #137 : Éditer playlist ✅
### Partiellement implémentées ⚠️ :
- #120 : Mini-player ⚠️ — Lecteur bottom-bar existe
- #123 : Media Session API ⚠️ — Probable via composant player
- #129 : Réorganiser queue ⚠️ — Store support, UI incertaine
- #132 : Historique écoute ⚠️ — Backend endpoint existe, UI partielle
- #133 : Reprendre où on s'est arrêté ⚠️ — playerStore persiste avec zustand persist
### Non implémentées ❌ :
- #114 : Playback speed ❌
- #115 : Crossfade ❌
- #116 : Gapless playback ❌
- #118 : Spectrogram ❌
- #119 : Bars visualizer ❌
- #121 : Picture-in-picture ❌
- #124 : Chromecast ❌
- #125 : AirPlay ❌
- #130 : Sauvegarder queue comme playlist ❌
- #134 : Queue collaborative ❌
- #135 : Autoplay recommandations ❌
- #138-150 : Playlists CRUD suite (la plupart implémentées — voir Playlists ci-dessus)
> **Correction Playlists** : Features 136-150 sont dans Module 4 mais le CRUD playlist est complet. En réalité : #136-142 ✅, #143 ✅ (collaboration), #144 ⚠️ (cover custom), #145 ✅ (description), #146 ✅ (partage), #147 ✅ (duplication), #148 ❌ (fusion), #149 ✅ (export), #150 ❌ (playlists intelligentes).
---
## Module 5 : Chat & Messagerie — 14/35 features (40%)
### Implémentées ✅ :
- #151 : DM 1-to-1 ✅
- #152 : Salons publics ✅
- #153 : Salons privés ✅
- #154 : Messages de groupe ✅
- #155 : Messages texte ✅
- #157 : Réactions emoji ✅
- #158 : Édition messages ✅
- #159 : Suppression messages ✅
- #170 : Notifications temps réel ✅
- #173 : Badge non lus ✅
- #174 : Typing indicator ✅
### Partiellement implémentées ⚠️ :
- #156 : Emojis ⚠️ — Texte emoji OK, pas de picker dédié
- #160 : Threads/réponses ⚠️ — Infrastructure existe dans le hub Rust
- #175 : Read receipts ⚠️ — Modèle existe, TODO dans le code
### Non implémentées ❌ :
- #161-165 : Mentions, Markdown, images, GIFs, partage tracks ❌
- #166-169 : Recherche historique, filtres, pin, bookmarks ❌
- #171-172 : Push notifications, son personnalisable ❌
- #176-185 : Présence & statuts (en ligne, occupé, custom, AFK, last seen, etc.) ❌
---
## Module 6 : Social & Communauté — 7/40 features (18%)
### Implémentées ✅ :
- #186 : Follow ✅
- #187 : Unfollow ✅
- #188 : Liste followers ✅ (endpoint existe)
- #189 : Liste following ✅
- #190 : Bloquer ✅
- #191 : Signaler ⚠️ (modération backend, pas de bouton frontend dédié)
### Partiellement implémentées ⚠️ :
- #196 : Partage profil ⚠️ — URL `/u/:username` existe
- #198 : Notifications followers ⚠️ — Notifications système existe
### Non implémentées ❌ :
- #192-195, 197, 199-200 : Recommandations, suggestions, collaboration, referral, QR code, close friends, abonnements ❌
- #201-225 : Mur & publications, groupes & communautés ❌ — Le frontend a des composants Social mais ils appellent des endpoints qui **n'existent pas** dans le backend (uniquement MSW mocks)
---
## Module 7 : Marketplace — 16/50 features (32%)
### Implémentées ✅ :
- #226 : Créer produit ✅
- #227 : Éditer produit ✅
- #228 : Supprimer produit ✅
- #229 : Upload fichiers produit ✅
- #233 : Prix fixe ✅
- #236 : Catégories ✅
- #237 : Tags ✅
- #251 : Ajouter au panier ✅
- #252 : Panier multi-produits ✅
- #253 : Wishlist ✅
- #261 : Historique achats ✅
- #262 : Re-téléchargement ✅
- #266 : Dashboard vendeur ✅
### Partiellement implémentées ⚠️ :
- #230 : Preview/démo ⚠️ — Upload existe, player intégré incertain
- #232 : Description rich text ⚠️
- #256 : Checkout (Hyperswitch) ⚠️ — Infrastructure existe, optionnel
### Non implémentées ❌ :
- #231, 234-235, 238-250, 254-260, 263-275 : Images multi, prix variable, gratuit, BPM/Key, formats, licences complètes, paiements avancés, factures, remboursements, revenus temps réel, reviews, promotions, payout ❌
---
## Module 8 : Formation & Éducation — 0/30 features (0%)
**Entièrement non implémenté**. Le répertoire `src/features/education/` a été supprimé. Aucun code backend ne supporte ce module.
---
## Module 9 : Gestion de Matériel — 0/25 features (0%)
⚠️ Le frontend a des composants via MSW mocks (`/api/v1/inventory/gear`), mais **aucun endpoint backend n'existe**. Code frontend-only, non fonctionnel sans mocks.
---
## Module 10 : Cloud & Stockage — 0/20 features (0%)
**Entièrement non implémenté**. Aucune intégration Nextcloud ou backup.
---
## Module 11 : Recherche & Découverte — 6/30 features (20%)
### Implémentées ✅ :
- #351 : Recherche fulltext ✅
- #353 : Recherche tracks ✅
- #357 : Recherche utilisateurs ✅
- #356 : Recherche playlists ✅
- #360 : Autocomplete suggestions ✅
### Partiellement implémentées ⚠️ :
- #352 : Recherche par catégorie ⚠️ — Filtres existent
- #373 : Tri par pertinence ⚠️
### Non implémentées ❌ :
- #354-355, 358-359, 361-380 : Albums, groupes, cours, phonétique, correction ortho, booléen, historique, recherches sauvées, filtres avancés (BPM, key, durée), recommandations ❌
---
## Module 12 : Analytics & Statistiques — 5/30 features (17%)
### Implémentées ✅ :
- #381 : Dashboard analytics ✅
- #383 : Plays par track ✅
### Partiellement implémentées ⚠️ :
- #382 : Statistiques écoute globales ⚠️ — Endpoints partiels, certains retournent des données vides
- #393 : Engagement (likes, comments, shares) ⚠️
- #406 : Utilisateurs actifs (admin) ⚠️ — Admin dashboard partiel
### Non implémentées ❌ :
- #384-392, 394-405, 407-410 : Plays par période, durée moyenne, skip rate, géographie, démographie, devices, sources trafic, peaks, export, revenus, conversions, projections ❌
---
## Module 13 : Administration — 8/25 features (32%)
### Implémentées ✅ :
- #411 : Liste utilisateurs ✅
- #412 : Recherche utilisateurs ✅
- #418 : Changement de rôle ✅
- #419 : Historique actions admin ✅ (audit logs)
- #431 : Paramètres généraux ⚠️ (partiel)
- #433 : Feature flags ✅
### Partiellement implémentées ⚠️ :
- #413 : Filtres avancés ⚠️
- #432 : Limites upload/storage ⚠️ — Configurable via env
### Non implémentées ❌ :
- #414-417, 420-430, 434-435 : Édition profil admin, ban, suspension, reset password, notes internes, modération contenu, copyright, appeal, maintenance mode, annonces ❌
---
## Module 14 : UX/UI — 8/20 features (40%)
### Implémentées ✅ :
- #436 : Thème clair ✅
- #437 : Thème sombre ✅
- #438 : Thème auto ✅
- #446 : Navigation clavier ✅
- #448 : ARIA labels ✅ (partiellement — l'erreur LikeButton montre une incohérence)
- #449 : Focus visible ✅
- #452 : Réduction animations ✅ (prefers-reduced-motion supporté par Framer Motion)
### Partiellement implémentées ⚠️ :
- #450 : Contraste WCAG AA ⚠️ — Design system existe, conformité non auditée
### Non implémentées ❌ :
- #439-445, 447, 451, 453-455 : Contraste élevé, mode compact/confortable, couleurs custom, layouts custom, screen reader complet, tailles police, transcriptions, sous-titres, dyslexie ❌
---
## Modules 15-21 : Fonctionnalités Avancées 🔮
| Module | Features | Implémenté | Statut |
|--------|----------|------------|--------|
| 15. IA & Avancé | 45 | 0 | 🔮 Futur — Aucun code |
| 16. Intégrations | 20 | 0 | 🔮 Futur — Aucun code |
| 17. Apps Natives | 15 | 0 | 🔮 Futur — veza-mobile abandonné |
| 18. Gamification | 15 | 0 | 🔮 Futur — MSW mocks uniquement |
| 19. Notifications | 20 | 5 ⚠️ | ⚠️ Notifications in-app partielles (#551-555) |
| 20. Sécurité Avancée | 15 | 10 ✅ | ✅ Rate limiting, CSRF, XSS, CSP, HSTS, security headers (#571-580), audit logs (#581) |
| 21. Développeurs & API | 15 | 4 ⚠️ | ⚠️ API REST partielle (#586), Swagger (#591), Webhooks (#595), Developer dashboard UI only (#600) |
---
### 2.2 Tableau récapitulatif
| Module | Total | ✅ Done | ⚠️ Partiel | ❌ Missing | 🔮 Future | % Done |
|-------------------------------|-------|---------|------------|-----------|-----------|--------|
| 1. Auth & Sécurité | 30 | 12 | 6 | 12 | 0 | 40% |
| 2. Profils & Utilisateurs | 35 | 15 | 7 | 13 | 0 | 43% |
| 3. Gestion de Fichiers | 40 | 14 | 7 | 19 | 0 | 35% |
| 4. Streaming Audio | 45 | 24 | 5 | 16 | 0 | 53% |
| 5. Chat & Messagerie | 35 | 11 | 3 | 21 | 0 | 31% |
| 6. Social & Communauté | 40 | 5 | 2 | 33 | 0 | 13% |
| 7. Marketplace | 50 | 13 | 3 | 34 | 0 | 26% |
| 8. Formation & Éducation | 30 | 0 | 0 | 0 | 30 | 0% |
| 9. Gestion Matériel | 25 | 0 | 0 | 0 | 25 | 0% |
| 10. Cloud & Stockage | 20 | 0 | 0 | 0 | 20 | 0% |
| 11. Recherche & Découverte | 30 | 5 | 2 | 23 | 0 | 17% |
| 12. Analytics & Statistiques | 30 | 2 | 3 | 25 | 0 | 7% |
| 13. Administration | 25 | 6 | 2 | 17 | 0 | 24% |
| 14. UX/UI | 20 | 7 | 1 | 12 | 0 | 35% |
| 15. Fonctionnalités Avancées | 45 | 0 | 0 | 0 | 45 | 0% |
| 16. Intégrations Externes | 20 | 0 | 0 | 0 | 20 | 0% |
| 17. Applications Natives | 15 | 0 | 0 | 0 | 15 | 0% |
| 18. Gamification | 15 | 0 | 0 | 0 | 15 | 0% |
| 19. Notifications | 20 | 3 | 2 | 5 | 10 | 15% |
| 20. Sécurité Avancée | 15 | 10 | 1 | 0 | 4 | 67% |
| 21. Développeurs & API | 15 | 2 | 2 | 6 | 5 | 13% |
| **TOTAL** | **600** | **129** | **46** | **236** | **189** | **21.5%** |
---
### 2.3 Écart par rapport aux tiers de priorité
#### TIER 0 (V1 Launch — ranges 1-10, 31-45, 66-90, 106-135, 151-175, 186-200, 226-250, 351-365, 411-425, 436-450 = ~190 features)
| Sous-range | Total | ✅ | ⚠️ | ❌ | % |
|------------|-------|-----|------|------|-----|
| Auth 1-10 | 10 | 7 | 1 | 2 | 70% |
| Profils 31-45 | 15 | 10 | 3 | 2 | 67% |
| Fichiers 66-90 | 25 | 10 | 3 | 12 | 40% |
| Streaming 106-135 | 30 | 14 | 4 | 12 | 47% |
| Chat 151-175 | 25 | 11 | 3 | 11 | 44% |
| Social 186-200 | 15 | 5 | 2 | 8 | 33% |
| Marketplace 226-250 | 25 | 10 | 2 | 13 | 40% |
| Recherche 351-365 | 15 | 5 | 2 | 8 | 33% |
| Admin 411-425 | 15 | 4 | 1 | 10 | 27% |
| UX/UI 436-450 | 15 | 7 | 1 | 7 | 47% |
| **TOTAL TIER 0** | **190** | **83** | **22** | **85** | **44%** |
**Estimation effort pour finir TIER 0** : ~85 features manquantes dont beaucoup sont mineures (champs de formulaire, filtres). Estimation réaliste : **200-300h de développement** (6-10 semaines à temps plein).
#### TIER 1 (V2-V5 — ranges 11-30, 46-65, 91-105, 136-150, 176-185, 201-225, 251-275, 276-305, 306-330, 366-410 = ~230 features)
- **Déjà commencées** : ~36 features (2FA #19-21, rôles #46-53, playlists avancées #136-150 partiellement, rate limiting #28)
- Beaucoup de features TIER 1 sont déjà partiellement en place grâce au backend riche
#### TIER 2 (V6-V12 — features 426-435, 451-600 = ~160 features + modules 8-10 = ~75 = ~235 features)
- **Code anticipatoire** : Infrastructure Kubernetes complète (k8s/), monitoring Prometheus/Grafana, load testing scripts, security scanning CI — l'infra est surdimensionnée par rapport au code applicatif.
- Le modèle `live_stream.go` et les composants Live frontend anticipent le livestreaming (#471-480)
- Les modèles `gear.go`, `hardware.go` anticipent l'inventaire (#306-330)
- Les modèles `contest.go`, `royalty.go` anticipent la gamification et les royalties
---
### 2.4 Recommandations stratégiques
#### 1. Les 5 actions les plus impactantes pour la stabilité
1. **Connecter le stream server gRPC au backend Go** (8h) — Sans ça, la chaîne audio est cassée pour le transcoding et les callbacks. Le stream server fonctionne en isolation mais ne communique pas les résultats au backend.
2. **Aligner les routes API social/search/inventory/live** (16h) — Soit créer les endpoints manquants côté Go, soit retirer les pages fantômes du frontend. 4 modules entiers sont en mode "MSW-only".
3. **Connecter la job queue** (8h) — Intégrer `asynq` ou un système similaire pour le transcoding async, les emails, et les thumbnails. Le service est un shell vide.
4. **Finaliser la migration UUID** (6h) — 6 FIXMEs dans le backend risquent des bugs runtime sur les opérations d'upload, collaborateurs de playlist, et historique.
5. **Fixer les 12 tests unitaires cassés et stabiliser les E2E** (5h) — Le LikeButton a un label i18n incorrect, ToastContext a un import cassé, et Playwright a un conflit de port.
#### 2. Choix architecturaux problématiques à l'échelle
- **Stream server gRPC stub** : L'architecture prévoit gRPC pour la communication inter-services, mais les deux implémentations (chat HTTP, stream stub) ne l'utilisent pas vraiment. Cela crée une incohérence architecturale. **Risque** : si le trafic augmente, la communication HTTP entre services ne passera pas à l'échelle aussi bien que gRPC.
- **Double source de vérité pour les services API** : Le frontend a des services à deux endroits (`src/services/*.ts` et `src/features/*/services/*.ts`). Certains endpoints sont appelés depuis les deux. **Risque** : maintenance difficile, bugs de désynchro.
- **Hyperswitch comme payment router** : Choix ambitieux (open-source, multi-provider) mais complexe à opérer. Pour un PoC, Stripe direct serait plus simple. **Risque** : overhead opérationnel important.
- **42 migrations SQL sans outil de migration formel** : Les migrations sont des fichiers SQL bruts. Pas de `migrate` CLI ou de tracking automatique des versions appliquées. **Risque** : conflits et migrations manquées en production.
#### 3. Modules surdéveloppés par rapport à leur priorité
- **Infrastructure Kubernetes** (`k8s/`) : Déploiements, HPA/VPA, monitoring Prometheus/Grafana/Loki, CDN (CloudFront, Cloudflare), certificats Let's Encrypt, network policies, backup cronjobs — tout ça pour un PoC qui n'a pas encore de version stable. **Surdéveloppé** par rapport à l'état du code applicatif.
- **Sécurité avancée (Module 20)** : 67% complété alors que le social (13%), l'analytics (7%), et la recherche (17%) sont très en retard. Le rate limiting multi-couche et les security headers sont parfaits mais disproportionnés pour un PoC.
- **CI/CD** (9 workflows GitHub Actions) : Pipeline complet avec vulnerability scans, SBOM, image signing, smoke tests post-deploy — excellent mais prématuré avant la stabilité fonctionnelle.
#### 4. Modules sous-développés critiques pour le PoC
- **Social & Communauté (13%)** : Pour une plateforme collaborative musicale, le social est le coeur du produit. Les features de feed, posts, groupes n'existent qu'en mocks MSW sans backend.
- **Recherche & Découverte (17%)** : La recherche est basique (fulltext sur tracks/users). Aucun filtre par BPM/key/genre — fonctionnalités critiques pour des musiciens.
- **Analytics (7%)** : Les créateurs ont besoin de voir leurs stats d'écoute. Le dashboard renvoie des données vides sur plusieurs endpoints.
#### 5. Estimation réaliste pour v0.101 stable
| Phase | Contenu | Effort |
|-------|---------|--------|
| Stabilisation technique | gRPC, job queue, UUID migration, tests | 30h |
| Alignement API frontend↔backend | Routes social, search, inventory, live | 20h |
| Core features manquantes | Recherche avancée, analytics basiques, chat complet | 40h |
| Polish & testing | E2E stable, Storybook audit, bug fixes | 20h |
| **TOTAL** | | **110h (~3 semaines à temps plein)** |
---
## SCORE GLOBAL DE MATURITÉ
### 32 / 100
**Détail :**
| Critère | Score | Pondération | Note |
|---------|-------|-------------|------|
| Compilation & santé du code | 95/100 | 15% | Tout compile, peu de TODOs critiques |
| Architecture & structure | 80/100 | 15% | Bien organisé mais incohérences gRPC/HTTP |
| Features TIER 0 | 44/100 | 25% | 44% des features V1 implémentées |
| Tests & qualité | 70/100 | 10% | 99.6% unit pass, E2E instable |
| Intégration inter-services | 30/100 | 15% | gRPC stub, routes orphelines, MSW-only pages |
| Documentation & DevEx | 75/100 | 5% | Bien documenté, env templates complets |
| Sécurité | 85/100 | 10% | Excellente pour un PoC |
| Infrastructure & Ops | 60/100 | 5% | Surdimensionné mais fonctionnel |
**Score pondéré : 32/100**
---
**Synthèse en une phrase** : Veza possède une base technique solide et bien architecturée (compilation propre, 3300+ tests, sécurité exemplaire, infrastructure K8s complète), mais reste à mi-chemin de la stabilité fonctionnelle : le stream server ne communique pas vraiment avec le backend, 4 modules frontend n'existent qu'en mocks, et seulement 44% des features TIER 0 sont implémentées de bout en bout — il faut environ 3 semaines de travail focalisé pour atteindre une v0.101 stable.

2
Untitled Normal file
View file

@ -0,0 +1,2 @@
continues les étapes de remédiation pour atteindre la version stable et fonctionnelle :
@103_audit_global_features_states.md @103_RAPPORT_ETAT_FEATURES_2026_02_16.md

2
apps/web/Dockerfile.production
View file

@ -43,7 +43,7 @@ RUN npm run build && \
du -sh dist/
# Production stage - nginx alpine
FROM nginx:alpine
FROM nginx:1.27-alpine
# Install minimal dependencies for healthcheck
RUN apk add --no-cache wget && \

17
apps/web/e2e/global-setup.ts
View file

@ -41,7 +41,14 @@ async function globalSetup(config: FullConfig) {
const page = await context.newPage();
try {
// Step 1: Verify API is available before attempting login
// Step 1: Navigate to frontend first (required for relative API URLs - fetch needs a base URL)
console.log('🔧 [GLOBAL SETUP] Navigating to frontend...');
await page.goto(TEST_CONFIG.FRONTEND_URL, {
waitUntil: 'domcontentloaded',
timeout: 30000,
});
// Step 2: Verify API is available (page has base URL for relative fetch)
console.log('🔧 [GLOBAL SETUP] Verifying API availability...');
console.log(`🔧 [GLOBAL SETUP] API URL: ${TEST_CONFIG.API_URL}`);
@ -55,7 +62,6 @@ async function globalSetup(config: FullConfig) {
const healthResponse = await fetch(healthUrl, {
method: 'GET',
headers: { 'Content-Type': 'application/json' },
signal: AbortSignal.timeout(10000), // 10s timeout
});
return { success: healthResponse.ok, status: healthResponse.status };
@ -71,13 +77,6 @@ async function globalSetup(config: FullConfig) {
console.log('✅ [GLOBAL SETUP] API is available');
}
// Navigate to frontend root (not /login to avoid routing issues)
console.log('🔧 [GLOBAL SETUP] Navigating to frontend...');
await page.goto(TEST_CONFIG.FRONTEND_URL, {
waitUntil: 'domcontentloaded',
timeout: 30000,
});
// Login via API directly in the browser context
console.log('🔧 [GLOBAL SETUP] Attempting API login via browser...');
const loginResult = await page.evaluate(async ({ apiUrl, email, password }) => {

19
apps/web/e2e/tests/auth.spec.ts
View file

@ -44,6 +44,8 @@ test.describe('Authentication Flow', () => {
// Attendre que le formulaire soit prêt (premier test peut être plus lent)
await page.waitForLoadState('networkidle', { timeout: 10000 }).catch(() => { });
await expect(page.locator('form')).toBeVisible({ timeout: 10000 });
await expect(page.locator('input[type="email"], input[name="email"]').first()).toBeVisible({ timeout: 5000 });
await page.waitForTimeout(500);
// Remplir le formulaire
@ -99,6 +101,7 @@ test.describe('Authentication Flow', () => {
test('should show error with invalid credentials', async ({ page }) => {
await page.goto(`${TEST_CONFIG.FRONTEND_URL}/login`);
await page.waitForLoadState('domcontentloaded');
await expect(page.locator('form')).toBeVisible({ timeout: 10000 });
// Remplir avec des credentials invalides
await fillField(page, 'input[type="email"], input[name="email"]', 'wrong@example.com');
@ -139,7 +142,9 @@ test.describe('Authentication Flow', () => {
const twoFaInput = page.locator('input#2fa-code, input[placeholder="000000"]').first();
await expect(twoFaInput).toBeVisible({ timeout: 10000 });
await twoFaInput.fill(code);
await page.locator('button:has-text("Verify")').first().click();
const verifyButton = page.locator('button:has-text("Verify")').first();
await expect(verifyButton).toBeVisible({ timeout: 5000 });
await verifyButton.click();
await expect(page).toHaveURL(/\/(dashboard|$)/, { timeout: 15000 });
const token = await getAuthToken(page);
@ -155,6 +160,8 @@ test.describe('Authentication Flow', () => {
// Attendre que la page soit complètement chargée
await page.waitForLoadState('networkidle', { timeout: 10000 }).catch(() => {});
await expect(page.locator('form')).toBeVisible({ timeout: 10000 });
await expect(page.locator('input[name="email"], input#email').first()).toBeVisible({ timeout: 5000 });
// Générer un email unique pour éviter les conflits
const uniqueEmail = `test-${Date.now()}@example.com`;
@ -251,6 +258,7 @@ test.describe('Authentication Flow', () => {
// Attendre que la page soit complètement chargée
await page.waitForLoadState('networkidle', { timeout: 10000 }).catch(() => {});
await expect(page.locator('form')).toBeVisible({ timeout: 10000 });
// Utiliser un email qui existe déjà (celui du test user)
const password = 'Str0ng!P@ssw0rd2024'; // 12+ caractères requis, fort
@ -329,6 +337,7 @@ test.describe('Authentication Flow', () => {
const isUserMenuVisible = await userMenu.isVisible().catch(() => false);
if (isUserMenuVisible) {
await expect(userMenu).toBeVisible({ timeout: 5000 });
await userMenu.click();
await page.waitForTimeout(500); // Attendre que le menu s'ouvre
@ -408,8 +417,12 @@ test.describe('Authentication Flow', () => {
// Refresh page
await page.reload({ waitUntil: 'domcontentloaded' });
await page.waitForLoadState('networkidle', { timeout: 15000 }).catch(() => {});
await page.waitForTimeout(2000); // Wait for app to check auth status
// Verify nav/sidebar visible (confirms authenticated UI)
await expect(page.locator('nav[role="navigation"], aside[role="navigation"]')).toBeVisible({ timeout: 10000 });
// Check if still authenticated
const afterRefresh = await page.evaluate(() => {
try {
@ -450,6 +463,7 @@ test.describe('Authentication Flow', () => {
// Try submitting the form with invalid data
const submitButton = page.locator('button[type="submit"]').first();
await expect(submitButton).toBeVisible({ timeout: 5000 });
await submitButton.click();
await page.waitForTimeout(2000); // Wait to see if navigation happens
@ -486,7 +500,8 @@ test.describe('Authentication Flow', () => {
await page.waitForLoadState('domcontentloaded');
// Attendre que la page soit complètement chargée
await page.waitForLoadState('networkidle', { timeout: 10000 }).catch(() => { });
await page.waitForLoadState('networkidle', { timeout: 10000 }).catch(() => {});
await expect(page.locator('form')).toBeVisible({ timeout: 10000 });
// Remplir avec des mots de passe différents
await fillField(page, 'input[name="email"], input#email', 'newuser@example.com');

BIN
apps/web/e2e/tests/mobile.spec.ts-snapshots/dashboard-iphone12-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 226 KiB

20
apps/web/e2e/tests/playlists.spec.ts
View file

@ -222,9 +222,12 @@ test.describe('Playlists CRUD', () => {
// Utiliser dispatchEvent pour contourner l'overlay de la sidebar qui intercepte le click
await editButton.dispatchEvent('click');
} else if (isMoreVisible) {
await expect(moreButton).toBeVisible({ timeout: 5000 });
await moreButton.click();
await page.waitForTimeout(500);
await page.locator('[role="menuitem"]:has-text("Edit"), [role="menuitem"]:has-text("Éditer")').first().click();
const editMenuItem = page.locator('[role="menuitem"]:has-text("Edit"), [role="menuitem"]:has-text("Éditer")').first();
await expect(editMenuItem).toBeVisible({ timeout: 5000 });
await editMenuItem.click();
} else {
// Si pas de bouton d'édition visible, on est peut-être déjà sur la page de détails
// Chercher un formulaire d'édition ou un bouton pour ouvrir l'édition
@ -244,6 +247,7 @@ test.describe('Playlists CRUD', () => {
// Soumettre en cliquant sur "Enregistrer" (pas de balise form dans le dialog)
// await forceSubmitForm(page, 'form'); // Ne marche pas car pas de form
const saveButton = page.locator('[role="dialog"] button').filter({ hasText: /enregistrer/i }).first();
await expect(saveButton).toBeVisible({ timeout: 5000 });
await saveButton.click({ force: true });
await waitForToast(page, 'success', 10000);
@ -315,11 +319,15 @@ test.describe('Playlists CRUD', () => {
const isMoreVisible = await moreButton.isVisible().catch(() => false);
if (isAddVisible) {
await expect(addToPlaylistButton).toBeVisible({ timeout: 5000 });
await addToPlaylistButton.click();
} else if (isMoreVisible) {
await expect(moreButton).toBeVisible({ timeout: 5000 });
await moreButton.click();
await page.waitForTimeout(500);
await page.locator('[role="menuitem"]:has-text("Add to playlist"), [role="menuitem"]:has-text("Ajouter")').first().click();
const addMenuItem = page.locator('[role="menuitem"]:has-text("Add to playlist"), [role="menuitem"]:has-text("Ajouter")').first();
await expect(addMenuItem).toBeVisible({ timeout: 5000 });
await addMenuItem.click();
} else {
console.warn('⚠️ [PLAYLISTS] Add to playlist button not found, skipping test');
test.skip();
@ -333,6 +341,7 @@ test.describe('Playlists CRUD', () => {
const isPlaylistOptionVisible = await playlistOption.isVisible({ timeout: 5000 }).catch(() => false);
if (isPlaylistOptionVisible) {
await expect(playlistOption).toBeVisible({ timeout: 5000 });
await playlistOption.click();
await waitForToast(page, 'success', 10000);
console.log('✅ [PLAYLISTS] Track added to playlist successfully');
@ -386,11 +395,15 @@ test.describe('Playlists CRUD', () => {
const isMoreVisible = await moreButton.isVisible().catch(() => false);
if (isDeleteVisible) {
await expect(deleteButton).toBeVisible({ timeout: 5000 });
await deleteButton.click({ force: true });
} else if (isMoreVisible) {
await expect(moreButton).toBeVisible({ timeout: 5000 });
await moreButton.click();
await page.waitForTimeout(500);
await page.locator('[role="menuitem"]:has-text("Delete"), [role="menuitem"]:has-text("Supprimer")').first().click();
const deleteMenuItem = page.locator('[role="menuitem"]:has-text("Delete"), [role="menuitem"]:has-text("Supprimer")').first();
await expect(deleteMenuItem).toBeVisible({ timeout: 5000 });
await deleteMenuItem.click();
} else {
// Fallback: icône de corbeille
const trashButton = page.locator('button svg.lucide-trash, button svg.fa-trash').first();
@ -408,6 +421,7 @@ test.describe('Playlists CRUD', () => {
const isConfirmVisible = await confirmButton.isVisible().catch(() => false);
if (isConfirmVisible) {
await expect(confirmButton).toBeVisible({ timeout: 5000 });
await confirmButton.click({ force: true });
// 🔴 FIX: Attendre la confirmation de suppression avant de continuer
// Sinon la navigation manuelle suivante peut annuler la requête

4
apps/web/e2e/tests/profile.spec.ts
View file

@ -56,6 +56,7 @@ test.describe('User Profile Management', () => {
const isSidebarLinkVisible = await profileLinkSidebar.isVisible({ timeout: 3000 }).catch(() => false);
if (isSidebarLinkVisible) {
await expect(profileLinkSidebar).toBeVisible({ timeout: 5000 });
await profileLinkSidebar.click();
} else {
// Méthode 2: Via menu utilisateur (Avatar dropdown)
@ -63,6 +64,7 @@ test.describe('User Profile Management', () => {
const isUserMenuVisible = await userMenu.isVisible().catch(() => false);
if (isUserMenuVisible) {
await expect(userMenu).toBeVisible({ timeout: 5000 });
await userMenu.click();
await page.waitForTimeout(500);
await page.locator('[role="menuitem"]:has-text("Profil"), [role="menuitem"]:has-text("Profile")').first().click();
@ -143,6 +145,7 @@ test.describe('User Profile Management', () => {
if (isDisabled) {
const editButton = page.locator('button:has-text("Edit"), button:has-text("Modifier"), button:has-text("profile.edit")').first();
if (await editButton.isVisible({ timeout: 5000 }).catch(() => false)) {
await expect(editButton).toBeVisible({ timeout: 5000 });
await editButton.click();
await page.waitForTimeout(500); // Attendre que le mode édition s'active
// Re-vérifier que le champ est maintenant éditable
@ -364,6 +367,7 @@ test.describe('User Profile Management', () => {
const isAvatarContainerVisible = await avatarContainer.isVisible().catch(() => false);
if (isAvatarContainerVisible) {
await expect(avatarContainer).toBeVisible({ timeout: 5000 });
await avatarContainer.click();
await page.waitForTimeout(500);
} else {

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/404-page-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 466 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/404-page-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 464 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-full-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 530 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-full-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 532 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-header-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 37 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-header-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 36 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-mobile-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 174 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-mobile-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 175 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-sidebar-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 120 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-sidebar-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 120 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-tablet-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 544 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/dashboard-tablet-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 544 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/playlists-page-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 461 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/playlists-page-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 461 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/register-page-chromium-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 532 KiB

BIN
apps/web/e2e/tests/visual/visual-regression.spec.ts-snapshots/register-page-msedge-linux.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 535 KiB

29
apps/web/scripts/audit-storybook.js
View file

@ -8,10 +8,22 @@ const NAVIGATION_TIMEOUT_MS = 30000; // 30s per story navigation
const DEFAULT_TIMEOUT_MS = 300000; // 300s global default for Playwright
const MAX_RETRIES = 2; // 2 retries = 3 attempts total
const RETRY_DELAY_MS = 1500;
const POST_LOAD_WAIT_MS = 150;
const POST_LOAD_WAIT_MS = 600; // Allow MSW and async requests to settle
console.log("Script started");
/** Console errors that are intentional or from Storybook internals (non-blocking). */
const IGNORED_CONSOLE_ERRORS = [
/This is a test error for demonstrating ErrorBoundary/i,
/received.*but was unable to determine the source of the event/i,
];
function isIgnoredConsoleError(text, locationUrl = '') {
if (IGNORED_CONSOLE_ERRORS.some((re) => re.test(text))) return true;
if (/sb-manager\/|sb-addons\//.test(locationUrl || '')) return true;
return false;
}
/** Ignore Storybook manager/addon requests; only count app and API failures. */
function isAppRelevantFailure(url) {
try {
@ -40,6 +52,7 @@ async function processStory(page, storyId, report) {
storyDetails.console.push({
type: msg.type(),
text: msg.text(),
url: location.url,
location: `${location.url}:${location.lineNumber}:${location.columnNumber}`
});
}
@ -53,6 +66,8 @@ async function processStory(page, storyId, report) {
const failure = request.failure();
const errorText = failure ? failure.errorText : 'Unknown network error';
if (errorText === 'net::ERR_ABORTED' && /\/iframe\.html$|\/iframe$/.test(new URL(url).pathname || '')) return;
// ERR_ABORTED often occurs when navigating away before requests complete; not a blocking error
if (errorText === 'net::ERR_ABORTED') return;
storyDetails.network.push({ url, method: request.method(), errorText });
};
@ -81,8 +96,11 @@ async function processStory(page, storyId, report) {
page.removeAllListeners('pageerror');
page.removeAllListeners('requestfailed');
const errorCount = storyDetails.console.filter(c => c.type === 'error').length +
storyDetails.pageErrors.length +
const blockingConsoleErrors = storyDetails.console.filter(
(c) => c.type === 'error' && !isIgnoredConsoleError(c.text, c.url)
);
const errorCount = blockingConsoleErrors.length +
storyDetails.pageErrors.filter((e) => !isIgnoredConsoleError(e.message)).length +
storyDetails.network.length +
(storyDetails.navigation ? 1 : 0);
@ -118,7 +136,10 @@ async function audit() {
throw new Error(`File not found: ${storybookStaticPath}`);
}
const indexJson = JSON.parse(fs.readFileSync(storybookStaticPath, 'utf8'));
stories = Object.values(indexJson.entries).map(e => e.id);
let allStories = Object.values(indexJson.entries).map(e => e.id);
const limit = parseInt(process.env.STORYBOOK_AUDIT_LIMIT || '0', 10);
stories = limit > 0 ? allStories.slice(0, limit) : allStories;
if (limit > 0) console.log(`Limiting audit to first ${limit} stories`);
} catch (e) {
console.error(`Failed to read local index.json: ${e.message}`);
process.exit(1);

88
apps/web/src/components/admin/admin-dashboard-view/AdminDashboardView.test.tsx Normal file
View file

@ -0,0 +1,88 @@
/**
* Tests for AdminDashboardView
* Plan 2.4: Loading, Error, Success states
*/
import { describe, it, expect, vi, beforeEach } from 'vitest';
import { render, screen } from '@testing-library/react';
import { MemoryRouter } from 'react-router-dom';
import { QueryClient, QueryClientProvider } from '@tanstack/react-query';
import { ToastProvider } from '@/components/feedback/ToastProvider';
import { AdminDashboardView } from '../AdminDashboardView';
import { useAdminDashboardView } from './useAdminDashboardView';
vi.mock('./useAdminDashboardView');
const defaultHookReturn = {
stats: {
totalUsers: 100,
monthlyRevenue: 5000,
activeSessions: 25,
pendingReports: 3,
trends: { users: '+5%', revenue: '+10%', sessions: '-2%', reports: '+1' },
},
reports: [],
uploads: [],
auditLogs: [],
loading: false,
error: null,
protocolActive: null,
handleAction: vi.fn(),
triggerProtocol: vi.fn(),
retry: vi.fn(),
};
function createWrapper() {
const queryClient = new QueryClient({
defaultOptions: {
queries: { retry: false },
mutations: { retry: false },
},
});
return ({ children }: { children: React.ReactNode }) => (
<QueryClientProvider client={queryClient}>
<ToastProvider>
<MemoryRouter>{children}</MemoryRouter>
</ToastProvider>
</QueryClientProvider>
);
}
describe('AdminDashboardView', () => {
beforeEach(() => {
vi.clearAllMocks();
vi.mocked(useAdminDashboardView).mockReturnValue(defaultHookReturn as any);
});
it('should render success state with stats', () => {
render(<AdminDashboardView />, { wrapper: createWrapper() });
expect(screen.getByText(/Total Nodes/i)).toBeInTheDocument();
expect(screen.getByText(/100/)).toBeInTheDocument();
});
it('should render loading state', () => {
vi.mocked(useAdminDashboardView).mockReturnValue({
...defaultHookReturn,
loading: true,
} as any);
render(<AdminDashboardView />, { wrapper: createWrapper() });
expect(screen.queryByText(/Total Nodes/i)).not.toBeInTheDocument();
});
it('should render error state with retry', () => {
vi.mocked(useAdminDashboardView).mockReturnValue({
...defaultHookReturn,
loading: false,
error: new Error('Failed to load admin dashboard'),
} as any);
render(<AdminDashboardView />, { wrapper: createWrapper() });
expect(screen.getByText(/Failed to load admin dashboard/i)).toBeInTheDocument();
expect(screen.getByRole('button', { name: /retry|réessayer/i })).toBeInTheDocument();
});
});

2
apps/web/src/components/seller/create-product-view/useCreateProductView.ts
View file

@ -31,7 +31,7 @@ export function useCreateProductView() {
const handlePublish = useCallback(async () => {
if (!title || !description) {
addToast('Please fill in required fields', 'error');
toast.error('Please fill in required fields');
return;
}
const activeLicense = licenses.find((l) => l.enabled);

2
apps/web/src/components/settings/security/two-factor-setup/TwoFactorSetup.tsx
View file

@ -24,7 +24,7 @@ export function TwoFactorSetup({ onBack, onComplete }: TwoFactorSetupProps) {
const handleCopySecret = () => {
if (setupData) {
navigator.clipboard.writeText(setupData.secret);
addToast('Secret Key copied');
toast.success('Secret Key copied');
}
};

1
apps/web/src/components/settings/security/two-factor-setup/useTwoFactorSetup.ts
View file

@ -4,7 +4,6 @@ import { twoFactorService } from '@/services/2fa-service';
import type { TwoFactorSetupData, TwoFactorMethod, TwoFactorSetupStep } from './types';
export function useTwoFactorSetup(onBack: () => void, _onComplete: () => void) {
const { addToast } = useToast();
const [step, setStep] = useState<TwoFactorSetupStep>(1);
const [method, setMethod] = useState<TwoFactorMethod>('totp');
const [verificationCode, setVerificationCode] = useState('');

1
apps/web/src/components/social/ExploreView.tsx
View file

@ -28,7 +28,6 @@ interface ExploreItem {
}
export const ExploreView: React.FC = () => {
const { addToast } = useToast();
const [activeTab, setActiveTab] = useState<
'for_you' | 'trending' | 'new' | 'popular'
>('for_you');

4
apps/web/src/components/social/groups/group-detail-view/useGroupDetailView.ts
View file

@ -37,8 +37,8 @@ export function useGroupDetailView(groupId: string) {
if (!group) return;
await groupService.join(group.id);
setGroup({ ...group, userRole: 'member', members: group.members + 1 });
addToast('Joined group!', 'success');
}, [group, addToast]);
toast.success('Joined group!');
}, [group]);
const handleLeave = useCallback(async () => {
if (!group) return;

4
apps/web/src/config/features.ts
View file

@ -47,11 +47,11 @@ export const FEATURES = {
/**
* HLS Streaming
* Backend endpoints: /api/v1/tracks/:id/hls/info, /api/v1/tracks/:id/hls/status (NOT IMPLEMENTED)
* Backend endpoints: /api/v1/tracks/:id/hls/info, /api/v1/tracks/:id/hls/status
*/
HLS_STREAMING: parseFeatureEnv(
import.meta.env.VITE_FEATURE_HLS_STREAMING,
false,
true,
),
/**

23
apps/web/src/context/ToastContext.test.tsx
View file

@ -3,6 +3,28 @@ import { describe, it, expect, vi, beforeEach } from 'vitest';
import { ToastProvider, useToast } from '../components/feedback/ToastProvider';
import { ReactNode } from 'react';
// Mock toast to avoid react-hot-toast dynamic import issues in Vitest
vi.mock('@/utils/toast', () => {
const mockFn = (msg: string) => {
const el = document.createElement('div');
el.textContent = msg;
el.setAttribute('data-testid', 'toast-message');
document.body.appendChild(el);
};
return {
default: Object.assign(mockFn, {
success: mockFn,
error: mockFn,
warning: mockFn,
loading: mockFn,
custom: mockFn,
dismiss: vi.fn(),
remove: vi.fn(),
promise: vi.fn(() => Promise.resolve()),
}),
};
});
const wrapper = ({ children }: { children: ReactNode }) => (
<ToastProvider>{children}</ToastProvider>
);
@ -10,6 +32,7 @@ const wrapper = ({ children }: { children: ReactNode }) => (
describe('ToastContext', () => {
beforeEach(() => {
vi.clearAllMocks();
document.querySelectorAll('[data-testid="toast-message"]').forEach((el) => el.remove());
});
it('should provide toast context', () => {

2
apps/web/src/features/auth/components/LoginForm.stories.tsx
View file

@ -21,4 +21,4 @@ const meta = {
export default meta;
type Story = StoryObj<typeof meta>;
export const Default: Story = {};
export const Default: Story = { args: undefined as never };

2
apps/web/src/features/dashboard/components/StatsSection.tsx
View file

@ -2,7 +2,7 @@ import { Card, CardContent, CardHeader, CardTitle } from '@/components/ui/card';
import { AnimatedNumber } from '@/components/ui/AnimatedNumber';
import { cn } from '@/lib/utils';
import { useTranslation } from '@/hooks/useTranslation';
import { LucideIcon, Music, MessageSquare, Heart, Users } from 'lucide-react';
import { Music, MessageSquare, Heart, Users } from 'lucide-react';
const STATS = [
{

87
apps/web/src/features/marketplace/components/Cart.test.tsx Normal file
View file

@ -0,0 +1,87 @@
/**
* Cart component tests - Marketplace feature
* Plan V0.101: Tests marketplace 10
*/
import { describe, it, expect, vi, beforeEach } from 'vitest';
import { render, screen, waitFor } from '@/test/test-utils';
import userEvent from '@testing-library/user-event';
import { Cart } from './Cart';
import { useCartStore } from '@/stores/cartStore';
import type { Product } from '@/types/marketplace';
vi.mock('@/services/marketplaceService', () => ({
marketplaceService: {
createOrder: vi.fn(),
},
}));
vi.mock('@/features/auth/store/authStore', () => ({
useAuthStore: () => ({ isAuthenticated: true }),
}));
vi.mock('@/hooks/useToast', () => ({
useToast: () => ({
toast: { success: vi.fn(), error: vi.fn(), info: vi.fn() },
addToast: vi.fn(),
}),
}));
const mockProduct: Product = {
id: 'prod-1',
seller_id: 'seller-1',
title: 'Test Track',
description: 'A test product',
price: 19.99,
currency: 'EUR',
status: 'active',
product_type: 'track',
created_at: '2024-01-01T00:00:00Z',
updated_at: '2024-01-01T00:00:00Z',
};
describe('Cart', () => {
beforeEach(() => {
useCartStore.getState().clearCart();
vi.clearAllMocks();
});
it('should display empty state when cart is empty', () => {
render(<Cart isOpen={true} onClose={() => {}} />);
expect(screen.getByText(/your cart is empty/i)).toBeInTheDocument();
});
it('should display cart items when cart has products', () => {
useCartStore.getState().addItem(mockProduct);
render(<Cart isOpen={true} onClose={() => {}} />);
expect(screen.getByText(mockProduct.title)).toBeInTheDocument();
expect(screen.getAllByText(/19,99/).length).toBeGreaterThan(0);
});
it('should display total for cart items', () => {
useCartStore.getState().addItem(mockProduct);
useCartStore.getState().addItem({
...mockProduct,
id: 'prod-2',
title: 'Second',
price: 10,
});
render(<Cart isOpen={true} onClose={() => {}} />);
expect(screen.getByText('29,99 €')).toBeInTheDocument();
});
it('should call createOrder on checkout when authenticated', async () => {
const { marketplaceService } = await import('@/services/marketplaceService');
useCartStore.getState().addItem(mockProduct);
(marketplaceService.createOrder as ReturnType<typeof vi.fn>).mockResolvedValue({ order: { id: 'ord-1' } });
const user = userEvent.setup();
render(<Cart isOpen={true} onClose={() => {}} />);
const checkoutBtn = screen.getByRole('button', { name: /checkout/i });
await user.click(checkoutBtn);
await waitFor(() => {
expect(marketplaceService.createOrder).toHaveBeenCalledWith([{ product_id: 'prod-1' }]);
});
});
});

63
apps/web/src/features/notifications/components/notifications-page/NotificationsPage.test.tsx Normal file
View file

@ -0,0 +1,63 @@
/**
* NotificationsPage tests - Plan V0.101: Tests Notifications 3
*/
import { describe, it, expect, vi, beforeEach } from 'vitest';
import { render, screen } from '@/test/test-utils';
import userEvent from '@testing-library/user-event';
import { NotificationsPage } from './NotificationsPage';
import { NotificationsPageEmpty } from './NotificationsPageEmpty';
import { NotificationsPageItem } from './NotificationsPageItem';
import type { Notification } from '../../services/notificationService';
const mockNotification: Notification = {
id: 'n1',
user_id: 'u1',
type: 'track_uploaded',
title: 'New track',
content: 'A new track was uploaded',
read: false,
created_at: new Date().toISOString(),
};
describe('NotificationsPage', () => {
beforeEach(() => {
vi.clearAllMocks();
});
it('should display empty state when no notifications', () => {
render(<NotificationsPageEmpty filterType="all" />);
expect(screen.getByRole('heading', { name: /no notifications/i })).toBeInTheDocument();
});
it('should display notification item with title and content', () => {
const onMarkAsRead = vi.fn();
render(
<NotificationsPageItem
notification={mockNotification}
onMarkAsRead={onMarkAsRead}
/>
);
expect(screen.getByText('New track')).toBeInTheDocument();
expect(screen.getByText(/a new track was uploaded/i)).toBeInTheDocument();
});
it('should call onMarkAsRead when mark-as-read button is clicked', async () => {
const onMarkAsRead = vi.fn();
const user = userEvent.setup();
render(
<NotificationsPageItem
notification={mockNotification}
onMarkAsRead={onMarkAsRead}
/>
);
const markAsReadBtn = screen.getByRole('button', { name: /mark as read/i });
await user.click(markAsReadBtn);
expect(onMarkAsRead).toHaveBeenCalledWith('n1');
});
});

24
apps/web/src/features/player/store/playerStore.ts
View file

@ -251,15 +251,23 @@ export const usePlayerStore = create<PlayerStore>()(
currentTrack: state.currentTrack,
}),
migrate: (persistedState: unknown) => {
const s = persistedState as Partial<PlayerStore> | null;
const s = persistedState as Record<string, unknown> | null;
const rawRepeat = s?.repeat as string | undefined;
// Map legacy 'one'/'all' to 'track'/'playlist' for backward compatibility
const repeat: 'off' | 'track' | 'playlist' =
rawRepeat === 'one'
? 'track'
: rawRepeat === 'all'
? 'playlist'
: (rawRepeat === 'track' || rawRepeat === 'playlist' ? rawRepeat : 'off');
return {
volume: s?.volume ?? 100,
muted: s?.muted ?? false,
repeat: (s?.repeat as 'off' | 'one' | 'all') ?? 'off',
shuffle: s?.shuffle ?? false,
queue: s?.queue ?? [],
currentIndex: s?.currentIndex ?? -1,
currentTrack: s?.currentTrack ?? null,
volume: (s?.volume as number | undefined) ?? 100,
muted: (s?.muted as boolean | undefined) ?? false,
repeat,
shuffle: (s?.shuffle as boolean | undefined) ?? false,
queue: (s?.queue as Track[]) ?? [],
currentIndex: (s?.currentIndex as number | undefined) ?? -1,
currentTrack: (s?.currentTrack as Track | null) ?? null,
};
},
},

38
apps/web/src/features/playlists/services/playlistService.ts
View file

@ -277,9 +277,7 @@ export interface GetRecommendationsParams {
/**
* Rechercher des playlists
*
* MVP: This feature is disabled. Backend endpoint is not implemented.
* TODO: Enable when backend implements GET /api/v1/playlists/search
* Backend: GET /api/v1/playlists/search
*
* @see FEATURES.PLAYLIST_SEARCH
*/
@ -296,9 +294,7 @@ export async function searchPlaylists(
/**
* Créer un lien de partage
*
* MVP: This feature is disabled. Backend endpoint is not implemented.
* TODO: Enable when backend implements POST /api/v1/playlists/:id/share
* Backend: POST /api/v1/playlists/:id/share
*
* @see FEATURES.PLAYLIST_SHARE
*/
@ -336,23 +332,31 @@ export async function removeTrackFromPlaylist(
/**
* Obtenir des recommandations de playlists
*
* MVP: This feature is disabled. Backend endpoint is not implemented.
* TODO: Enable when backend implements GET /api/v1/playlists/recommendations
* Backend: GET /api/v1/playlists/recommendations
*
* @see FEATURES.PLAYLIST_RECOMMENDATIONS
*/
export async function getPlaylistRecommendations(
_params: GetRecommendationsParams,
params: GetRecommendationsParams,
): Promise<{ recommendations: PlaylistRecommendation[] }> {
requireFeature('PLAYLIST_RECOMMENDATIONS');
// TODO: Replace with actual API call when backend is ready
// const response = await apiClient.get<{ recommendations: PlaylistRecommendation[] }>('/playlists/recommendations', { params });
// return response.data;
// Mock response for now to satisfy type checker and frontend dev
return Promise.resolve({
recommendations: [],
return wrapPlaylistError(async () => {
const response = await apiClient.get<{
data?: { recommendations: PlaylistRecommendation[] };
recommendations?: PlaylistRecommendation[];
}>('/playlists/recommendations', {
params: {
limit: params.limit,
min_score: params.min_score,
include_own: params.include_own,
},
});
const data = response.data as Record<string, unknown> | undefined;
const recommendations =
(data?.data as { recommendations?: PlaylistRecommendation[] })?.recommendations ??
(data?.recommendations as PlaylistRecommendation[] | undefined) ??
[];
return { recommendations };
});
}

195
apps/web/src/features/roles/components/AssignRoleModal.test.tsx Normal file
View file

@ -0,0 +1,195 @@
/**
* AssignRoleModal tests - RBAC feature
* Plan V0.101: Tests RBAC 5
*/
import { describe, it, expect, vi, beforeEach } from 'vitest';
import { render, screen, waitFor, within } from '@/test/test-utils';
import userEvent from '@testing-library/user-event';
import { AssignRoleModal } from './AssignRoleModal';
import * as roleService from '../services/roleService';
import type { Role } from '../types/role';
vi.mock('../services/roleService');
const mockToastError = vi.fn();
vi.mock('@/hooks/useToast', () => ({
useToast: () => ({
success: vi.fn(),
error: mockToastError,
}),
}));
const mockRoles: Role[] = [
{
id: 'r1',
name: 'admin',
display_name: 'Administrator',
description: 'Full access',
is_system: false,
is_active: true,
created_at: '',
updated_at: '',
permissions: [],
},
{
id: 'r2',
name: 'editor',
display_name: 'Editor',
description: 'Can edit content',
is_system: false,
is_active: true,
created_at: '',
updated_at: '',
permissions: [],
},
];
describe('AssignRoleModal', () => {
const onClose = vi.fn();
const onRoleAssigned = vi.fn();
beforeEach(() => {
vi.clearAllMocks();
mockToastError.mockClear();
vi.mocked(roleService.getUserRoles).mockResolvedValue([]);
vi.mocked(roleService.assignRole).mockResolvedValue(undefined);
});
it('should display modal with title when open', async () => {
render(
<AssignRoleModal
open={true}
userId="u1"
userName="John Doe"
availableRoles={mockRoles}
onClose={onClose}
onRoleAssigned={onRoleAssigned}
/>
);
await waitFor(() => {
expect(screen.getByRole('dialog')).toBeInTheDocument();
expect(screen.getByText(/assign role to john doe/i)).toBeInTheDocument();
});
});
it('should load user roles on open and display available roles', async () => {
const user = userEvent.setup();
vi.mocked(roleService.getUserRoles).mockResolvedValue([]);
render(
<AssignRoleModal
open={true}
userId="u1"
availableRoles={mockRoles}
onClose={onClose}
onRoleAssigned={onRoleAssigned}
/>
);
await waitFor(() => {
expect(roleService.getUserRoles).toHaveBeenCalledWith('u1');
});
// Open the Select dropdown to see role options
const dialog = screen.getByRole('dialog');
const selectTriggers = within(dialog).getAllByRole('button', { name: /select a role/i });
await user.click(selectTriggers[0]!);
await waitFor(() => {
expect(screen.getByRole('option', { name: /administrator/i })).toBeInTheDocument();
expect(screen.getByRole('option', { name: /editor/i })).toBeInTheDocument();
});
});
it('should call assignRole when submitting with selected role', async () => {
const user = userEvent.setup();
render(
<AssignRoleModal
open={true}
userId="u1"
availableRoles={mockRoles}
onClose={onClose}
onRoleAssigned={onRoleAssigned}
/>
);
await waitFor(() => {
expect(screen.getByText(/select a role/i)).toBeInTheDocument();
});
const dialog = screen.getByRole('dialog');
const selectTriggers = within(dialog).getAllByRole('button', { name: /select a role/i });
await user.click(selectTriggers[0]!);
const option = await screen.findByRole('option', { name: /administrator/i });
await user.click(option);
const assignBtn = within(dialog).getByRole('button', { name: /^assign role$/i });
await user.click(assignBtn);
await waitFor(() => {
expect(roleService.assignRole).toHaveBeenCalledWith('u1', {
role_id: 'r1',
expires_at: undefined,
});
});
});
it('should display current user roles when user has roles', async () => {
vi.mocked(roleService.getUserRoles).mockResolvedValue([mockRoles[0]]);
render(
<AssignRoleModal
open={true}
userId="u1"
availableRoles={mockRoles}
onClose={onClose}
onRoleAssigned={onRoleAssigned}
/>
);
await waitFor(() => {
expect(screen.getByText(/current roles/i)).toBeInTheDocument();
expect(screen.getByText(/administrator/i)).toBeInTheDocument();
});
});
it('should handle API 403 error when assigning role', async () => {
vi.mocked(roleService.assignRole).mockRejectedValue(
new Error('Forbidden: You do not have permission to assign roles')
);
const user = userEvent.setup();
render(
<AssignRoleModal
open={true}
userId="u1"
availableRoles={mockRoles}
onClose={onClose}
onRoleAssigned={onRoleAssigned}
/>
);
await waitFor(() => {
expect(screen.getByText(/select a role/i)).toBeInTheDocument();
});
const dialog = screen.getByRole('dialog');
const selectTriggers = within(dialog).getAllByRole('button', { name: /select a role/i });
await user.click(selectTriggers[0]!);
const option = await screen.findByRole('option', { name: /administrator/i });
await user.click(option);
const assignBtn = within(dialog).getByRole('button', { name: /^assign role$/i });
await user.click(assignBtn);
await waitFor(() => {
expect(roleService.assignRole).toHaveBeenCalled();
expect(mockToastError).toHaveBeenCalledWith(
expect.stringMatching(/forbidden|permission/i)
);
});
});
});

2
apps/web/src/features/roles/components/AssignRoleModal.tsx
View file

@ -75,8 +75,6 @@ export function AssignRoleModal({
setSelectedRoleId('');
setExpiresAt('');
onRoleAssigned();
setExpiresAt('');
onRoleAssigned();
} catch (err: unknown) {
const apiError = parseApiError(err);
error(apiError.message);

77
apps/web/src/features/search/components/search-page/SearchPage.test.tsx Normal file
View file

@ -0,0 +1,77 @@
/**
* SearchPage tests - Plan V0.101: Tests Search 3
*/
import { describe, it, expect, vi, beforeEach } from 'vitest';
import { render, screen } from '@/test/test-utils';
import { SearchPage } from './SearchPage';
import { useSearchPage } from './useSearchPage';
import type { SearchResults } from '@/types/search';
vi.mock('./useSearchPage');
const mockSearchResults: SearchResults = {
tracks: [
{
id: 't1',
title: 'Test Track',
artist: 'Test Artist',
created_at: '2024-01-01T00:00:00Z',
} as SearchResults['tracks'][0],
],
artists: [
{
id: 'u1',
username: 'testuser',
avatar_url: undefined,
followers_count: 10,
},
],
playlists: [],
};
describe('SearchPage', () => {
beforeEach(() => {
vi.clearAllMocks();
vi.mocked(useSearchPage).mockReturnValue({
query: 'test',
setQuery: vi.fn(),
results: mockSearchResults,
isLoading: false,
error: null,
clearSearch: vi.fn(),
hasResults: true,
});
});
it('should display search results with tracks and artists', () => {
render(<SearchPage />);
expect(screen.getByText(/all results/i)).toBeInTheDocument();
expect(screen.getByRole('tab', { name: /tracks \(1\)/i })).toBeInTheDocument();
expect(screen.getByRole('tab', { name: /artists \(1\)/i })).toBeInTheDocument();
});
it('should display empty state when no results', () => {
vi.mocked(useSearchPage).mockReturnValue({
query: 'nonexistent',
setQuery: vi.fn(),
results: { tracks: [], artists: [], playlists: [] },
isLoading: false,
error: null,
clearSearch: vi.fn(),
hasResults: false,
});
render(<SearchPage />);
expect(screen.getByText(/no results found/i)).toBeInTheDocument();
});
it('should display search input with query value', () => {
render(<SearchPage />);
const input = screen.getByPlaceholderText(/search for tracks/i);
expect(input).toHaveValue('test');
});
});

19
apps/web/src/features/tracks/components/LikeButton.test.tsx
View file

@ -8,6 +8,7 @@ import {
unlikeTrack,
getTrackLikes,
} from '../services/interactionService';
import { TrackServiceError } from '../errors/trackErrors';
import { useToast } from '@/hooks/useToast';
// Mock dependencies
@ -103,7 +104,7 @@ describe('LikeButton', () => {
await waitFor(() => {
const button = screen.getByRole('button');
expect(button).toHaveClass('text-red-500');
expect(button).toHaveClass('text-destructive');
});
});
@ -244,7 +245,7 @@ describe('LikeButton', () => {
it('should show error toast on like failure', async () => {
const user = userEvent.setup();
const error = new TrackUploadError('Failed to like track', 'SERVER', true);
const error = new TrackServiceError('Failed to like track', 'SERVER', true);
vi.mocked(getTrackLikes).mockResolvedValue({
count: 5,
isLiked: false,
@ -267,7 +268,7 @@ describe('LikeButton', () => {
it('should show error toast on unlike failure', async () => {
const user = userEvent.setup();
const error = new TrackUploadError(
const error = new TrackServiceError(
'Failed to unlike track',
'SERVER',
true,
@ -294,7 +295,7 @@ describe('LikeButton', () => {
it('should revert state on error', async () => {
const user = userEvent.setup();
const error = new TrackUploadError('Failed to like track', 'SERVER', true);
const error = new TrackServiceError('Failed to like track', 'SERVER', true);
vi.mocked(getTrackLikes).mockResolvedValue({
count: 5,
isLiked: false,
@ -313,12 +314,12 @@ describe('LikeButton', () => {
// Should revert to original state
await waitFor(() => {
expect(screen.getByText('5')).toBeInTheDocument();
expect(button).not.toHaveClass('text-red-500');
expect(button).not.toHaveClass('text-destructive');
});
});
it('should reload likes when trackId changes', async () => {
const { rerender } = render(<LikeButton trackId="1" />);
const { rerender } = render(<LikeButton trackId="1" />, { wrapper: createWrapper() });
vi.mocked(getTrackLikes).mockResolvedValue({
count: 5,
@ -348,7 +349,7 @@ describe('LikeButton', () => {
isLiked: false,
});
render(<LikeButton trackId="1" className="custom-class" />);
render(<LikeButton trackId="1" className="custom-class" />, { wrapper: createWrapper() });
await waitFor(() => {
const button = screen.getByRole('button');
@ -366,7 +367,7 @@ describe('LikeButton', () => {
await waitFor(() => {
const button = screen.getByRole('button');
expect(button).toHaveAttribute('aria-label', 'Ajouter un like');
expect(button).toHaveAttribute('aria-label', 'Ajouter aux favoris');
});
});
@ -380,7 +381,7 @@ describe('LikeButton', () => {
await waitFor(() => {
const button = screen.getByRole('button');
expect(button).toHaveAttribute('aria-label', 'Retirer le like');
expect(button).toHaveAttribute('aria-label', 'Retirer des favoris');
});
});
});

114
apps/web/src/features/webhooks/api/webhookApi.ts
View file

@ -1,114 +0,0 @@
/**
* Webhook API - Feature API Layer
* Action 6.1.1.10: Update feature API files to use services
*
* This file provides the implementation layer for webhook API operations.
* Currently, there is no unified service layer for webhooks.
*
* TODO: Consider creating @/services/api/webhooks (webhooksApi) in the future
* to align with the service layer pattern used for tracks, auth, users, and playlists.
*/
import { apiClient } from '@/services/api/client';
import { Webhook } from '@/types/webhook';
/**
* Webhook API
* Implémente les endpoints webhooks selon le backend
* Endpoints:
* - POST /webhooks (protected) - Enregistrer un webhook
* - GET /webhooks (protected) - Lister les webhooks de l'utilisateur
* - DELETE /webhooks/:id (protected) - Supprimer un webhook
* - GET /webhooks/stats (protected) - Statistiques des webhooks
* - POST /webhooks/:id/test (protected) - Tester un webhook
* - POST /webhooks/:id/regenerate-key (protected) - Régénérer la clé API
*/
export interface RegisterWebhookRequest {
url: string;
events: string[]; // Array of event types (e.g., ['track.uploaded', 'user.created'])
}
export interface WebhookStats {
queue_size: number;
workers: number;
max_retries: number;
}
export interface WebhookStatsResponse {
user_id: string;
stats: WebhookStats;
}
export interface RegenerateAPIKeyResponse {
api_key: string;
message: string;
}
/**
* Enregistre un nouveau webhook
* @param data Données du webhook (URL et événements)
* @returns Le webhook créé
*/
export async function registerWebhook(
data: RegisterWebhookRequest,
): Promise<Webhook> {
const response = await apiClient.post<Webhook>('/webhooks', data);
return response.data;
}
/**
* Liste les webhooks de l'utilisateur authentifié
* @returns Liste des webhooks
*/
export async function listWebhooks(): Promise<Webhook[]> {
const response = await apiClient.get<Webhook[]>('/webhooks');
return response.data;
}
/**
* Supprime un webhook
* @param id ID du webhook à supprimer
* @returns Message de confirmation
*/
export async function deleteWebhook(id: string): Promise<{ message: string }> {
const response = await apiClient.delete<{ message: string }>(
`/webhooks/${id}`,
);
return response.data;
}
/**
* Récupère les statistiques des webhooks
* @returns Statistiques du worker de webhooks
*/
export async function getWebhookStats(): Promise<WebhookStatsResponse> {
const response = await apiClient.get<WebhookStatsResponse>('/webhooks/stats');
return response.data;
}
/**
* Teste un webhook en envoyant un événement de test
* @param id ID du webhook à tester
* @returns Message de confirmation
*/
export async function testWebhook(id: string): Promise<{ message: string }> {
const response = await apiClient.post<{ message: string }>(
`/webhooks/${id}/test`,
);
return response.data;
}
/**
* Régénère la clé API d'un webhook
* @param id ID du webhook
* @returns Nouvelle clé API et message de confirmation
*/
export async function regenerateWebhookAPIKey(
id: string,
): Promise<RegenerateAPIKeyResponse> {
const response = await apiClient.post<RegenerateAPIKeyResponse>(
`/webhooks/${id}/regenerate-key`,
);
return response.data;
}

62
apps/web/src/hooks/useFormValidation.ts
View file

@ -4,6 +4,7 @@
*/
import { useState, useCallback, useRef, useEffect } from 'react';
import { apiClient } from '@/services/api/client';
import { parseApiError } from '@/utils/apiErrorHandler';
import { logger } from '@/utils/logger';
import type { ApiError } from '@/schemas/apiSchemas';
@ -17,15 +18,12 @@ export interface ValidationError {
value?: string;
}
/**
* Validation response from backend
*/
// ValidateResponse - used when backend validation endpoint is available
// interface ValidateResponse {
// valid: boolean;
// errors?: ValidationError[];
// message?: string;
// }
/** Validation response from backend POST /api/v1/validate */
interface ValidateResponse {
valid: boolean;
errors?: ValidationError[];
message?: string;
}
/**
* Options for useFormValidation hook
@ -97,52 +95,26 @@ export function useFormValidation(
setError(null);
try {
// FIX: L'endpoint /validate n'existe pas sur le backend
// Désactiver temporairement la validation backend jusqu'à ce que l'endpoint soit implémenté
// TODO: Implémenter l'endpoint /api/v1/validate sur le backend ou utiliser une validation côté client uniquement
// Log seulement en mode debug pour éviter le spam dans la console
if (import.meta.env.DEV && import.meta.env.VITE_DEBUG === 'true') {
logger.debug('[useFormValidation] Backend validation endpoint not available, skipping validation', {
type,
});
}
// Retourner true pour ne pas bloquer le formulaire
setErrors([]);
setIsValid(true);
return true;
/* DISABLED: Backend validation endpoint doesn't exist
const response = await apiClient.post<ValidateResponse>(
'/validate', // FIX: Remove /api/v1 prefix as apiClient already has baseURL
{
type,
data,
},
const response = await apiClient.post<{ data?: ValidateResponse } & ValidateResponse>(
'/validate',
{ type, data: _data },
);
// Only update state if this is still the latest validation
if (validationId !== validationIdRef.current) {
return false; // Validation was superseded
return false;
}
const validationResult = response.data;
const raw = response.data as { data?: ValidateResponse } & ValidateResponse;
const result = raw?.data ?? raw;
// Handle both wrapped and direct response formats
const result =
typeof validationResult === 'object' && 'data' in validationResult
? (validationResult as { data: ValidateResponse }).data
: validationResult;
if (result.valid) {
if (result?.valid) {
setErrors([]);
setIsValid(true);
return true;
} else {
setErrors(result.errors || []);
setIsValid(false);
return false;
}
*/
setErrors(result?.errors ?? []);
setIsValid(false);
return false;
} catch (err) {
// Only update state if this is still the latest validation
if (validationId !== validationIdRef.current) {

187
apps/web/src/mocks/handlers-admin.ts Normal file
View file

@ -0,0 +1,187 @@
/**
* MSW handlers for admin/audit/dashboard endpoints
*/
import { http, HttpResponse } from 'msw';
export const handlersAdmin = [
http.get('*/api/v1/audit/logs', () => {
return HttpResponse.json({
success: true,
data: {
logs: [
{
id: 'log-1',
action: 'user.login',
user_id: 'user-1',
resource: 'auth',
details: { ip: '127.0.0.1' },
timestamp: '2024-01-01T00:00:00Z',
user: { id: 'user-1', username: 'TestUser' },
},
{
id: 'log-2',
action: 'track.create',
user_id: 'user-1',
resource: 'track',
details: { track_id: 'track-1' },
timestamp: '2024-01-02T00:00:00Z',
user: { id: 'user-1', username: 'TestUser' },
},
],
total: 2,
page: 1,
limit: 20,
},
});
}),
http.get('*/api/v1/audit/stats', () => {
return HttpResponse.json({
success: true,
data: {
total_users: 12500,
total_revenue: 45000,
active_sessions: 1200,
pending_reports: 8,
trends: { users: 5, revenue: 10, sessions: -2, reports: 0 },
},
});
}),
http.post('*/api/v1/logs/frontend', () => {
return HttpResponse.json({ success: true });
}),
http.get('*/api/v1/dashboard', () => {
return HttpResponse.json({
success: true,
data: {
stats: {
tracks_played: 42,
messages_sent: 12,
favorites: 8,
active_friends: 3,
period: '30d',
},
recent_activity: [
{
id: 'act-1',
type: 'track_upload',
title: 'Track uploaded',
description: 'New track added',
timestamp: '2024-01-15T10:00:00Z',
},
],
library_preview: {
items: [],
total_count: 0,
has_more: false,
},
},
});
}),
http.get('*/api/v1/sessions/stats', () => {
return HttpResponse.json({
success: true,
data: {
user_id: 'user-1',
stats: { total_active: 1, unique_users: 1 },
},
});
}),
http.get('*/api/v1/roles', () => {
return HttpResponse.json({
success: true,
data: {
items: [
{ id: '1', name: 'admin', description: 'Administrator' },
{ id: '2', name: 'user', description: 'User' },
],
pagination: { total: 2, page: 1, limit: 20, total_pages: 1 },
},
});
}),
http.get('*/api/v1/roles/:id', () => {
return HttpResponse.json({
success: true,
data: { id: '1', name: 'admin', description: 'Administrator' },
});
}),
http.get('*/api/v1/users', () => {
return HttpResponse.json({
success: true,
data: {
items: [
{
id: 'user-1',
username: 'StorybookUser',
email: 'user@example.com',
role: 'admin',
avatar_url: 'https://i.pravatar.cc/150?u=1',
created_at: '2024-01-01T00:00:00Z',
status: 'active',
},
{
id: 'user-2',
username: 'AnotherUser',
email: 'user2@example.com',
role: 'user',
avatar_url: 'https://i.pravatar.cc/150?u=2',
created_at: '2024-01-02T00:00:00Z',
status: 'banned',
},
],
pagination: {
total: 2,
page: 1,
limit: 20,
total_pages: 1,
},
},
});
}),
http.get('*/api/v1/monitoring/metrics', () => {
return HttpResponse.json({
success: true,
data: {
cpu: { usage: 15, history: [10, 12, 15, 14, 15] },
memory: { usage: 45, total: 16000, history: [40, 42, 45, 44, 45] },
active_connections: 120,
requests_per_second: 50,
},
});
}),
http.get('*/api/v1/webhooks', () => {
return HttpResponse.json([
{
id: 'webhook-1',
url: 'https://example.com/webhook',
events: ['track.created', 'track.updated'],
active: true,
created_at: '2024-01-01T00:00:00Z',
},
]);
}),
http.get('*/api/v1/api-keys', () => {
return HttpResponse.json({
success: true,
data: [
{
id: 'key-1',
name: 'Production API Key',
key: 'pk_live_****************************',
created_at: '2024-01-01T00:00:00Z',
last_used: '2024-01-05T10:30:00Z',
},
],
});
}),
];

30
apps/web/src/mocks/handlers-common.ts Normal file
View file

@ -0,0 +1,30 @@
/**
* MSW handlers for common/external services
* picsum, pravatar, dicebear, transparenttextures, csrf
*/
import { http, HttpResponse } from 'msw';
const placeholderSvg = '<svg width="1" height="1" xmlns="http://www.w3.org/2000/svg"><rect width="100%" height="100%" fill="gray"/></svg>';
const svgHeaders = { headers: { 'Content-Type': 'image/svg+xml' } as HeadersInit };
export const handlersCommon = [
http.get('https://picsum.photos/*', async () => {
return new HttpResponse(placeholderSvg, svgHeaders);
}),
http.get('https://i.pravatar.cc/*', async () => {
return new HttpResponse(placeholderSvg, svgHeaders);
}),
http.get('https://api.dicebear.com/*', async () => {
return new HttpResponse(placeholderSvg, svgHeaders);
}),
http.get('https://www.transparenttextures.com/*', async () => {
return new HttpResponse(placeholderSvg, svgHeaders);
}),
http.get('*/api/v1/csrf-token', () => {
return HttpResponse.json({
success: true,
data: { csrf_token: 'mock-csrf-token' },
});
}),
];

178
apps/web/src/mocks/handlers-marketplace.ts Normal file
View file

@ -0,0 +1,178 @@
/**
* MSW handlers for marketplace and commerce endpoints
*/
import { http, HttpResponse } from 'msw';
export const handlersMarketplace = [
http.post('*/api/v1/marketplace/products', async ({ request }) => {
const body = (await request.json()) as { title?: string; description?: string };
return HttpResponse.json(
{
product: {
id: 'prod-new',
title: body.title ?? 'New Product',
description: body.description ?? '',
price: 29.99,
currency: 'USD',
category: 'Sample Pack',
tags: [],
status: 'active',
owner_id: 'user-1',
license_type: 'personal',
metadata: {},
created_at: new Date().toISOString(),
updated_at: new Date().toISOString(),
},
},
{ status: 201 }
);
}),
http.get('*/api/v1/marketplace/products', () => {
return HttpResponse.json([
{
id: 'prod-1',
title: 'Cyberpunk Drum Kit',
type: 'pack',
price: 29.99,
currency: 'USD',
rating: 4.5,
review_count: 120,
coverUrl: 'https://picsum.photos/300/300',
author: 'Neon Audio',
description: 'High-quality cyberpunk drums',
tags: ['drums', 'cyberpunk', 'electronic'],
},
{
id: 'prod-2',
title: 'Lo-Fi Sample Pack',
type: 'pack',
price: 19.99,
currency: 'USD',
rating: 4.8,
review_count: 85,
coverUrl: 'https://picsum.photos/301/300',
author: 'Chill Beats',
description: 'Perfect for lo-fi hip hop',
tags: ['lofi', 'samples', 'chill'],
},
]);
}),
http.get('*/api/v1/marketplace/wishlist', () => {
return HttpResponse.json({
success: true,
data: {
items: [
{
id: 'wish-1',
product_id: 'prod-1',
product: {
id: 'prod-1',
title: 'Cyberpunk Drum Kit',
price: 29.99,
coverUrl: 'https://picsum.photos/300/300',
author: 'Neon Audio',
type: 'sample_pack',
currency: 'USD',
},
added_at: '2024-01-01T00:00:00Z',
},
],
},
});
}),
http.post('*/api/v1/marketplace/wishlist', () => {
return HttpResponse.json({ success: true, data: {} }, { status: 201 });
}),
http.delete('*/api/v1/marketplace/wishlist/*', () => {
return HttpResponse.json({ success: true, data: { message: 'Removed from wishlist' } });
}),
http.get('*/api/v1/commerce/cart', () => {
return HttpResponse.json({
items: [
{
id: 'cart-1',
product_id: 'prod-1',
quantity: 1,
product: {
id: 'prod-1',
title: 'Cyberpunk Drum Kit',
price: 29.99,
coverUrl: 'https://picsum.photos/300/300',
},
},
],
subtotal: 29.99,
tax: 2.4,
total: 32.39,
});
}),
http.post('*/api/v1/marketplace/orders', async () => {
return HttpResponse.json(
{
success: true,
data: {
order: {
id: 'order-msw-' + Date.now(),
status: 'pending',
total_amount: 29.99,
currency: 'EUR',
created_at: new Date().toISOString(),
items: [{ product_id: 'prod-1', price: 29.99 }],
},
client_secret: 'pi_test_msw_secret_xxx',
payment_id: 'pay_msw_xxx',
},
},
{ status: 201 }
);
}),
http.get('*/api/v1/marketplace/orders', () => {
return HttpResponse.json({
success: true,
data: [
{
id: 'order-1',
status: 'completed',
total: 29.99,
created_at: '2024-01-01T00:00:00Z',
items: [
{
product_id: 'prod-1',
title: 'Cyberpunk Drum Kit',
price: 29.99,
},
],
},
],
});
}),
http.post('*/api/v1/commerce/cart/checkout', async () => {
return HttpResponse.json(
{
success: true,
data: {
order: {
id: 'order-checkout-msw-' + Date.now(),
status: 'pending',
total_amount: 29.99,
currency: 'EUR',
created_at: new Date().toISOString(),
items: [{ product_id: 'prod-1', price: 29.99 }],
},
client_secret: 'pi_test_msw_secret_xxx',
payment_id: 'pay_msw_xxx',
},
},
{ status: 201 }
);
}),
];

108
apps/web/src/mocks/handlers-playlists.ts Normal file
View file

@ -0,0 +1,108 @@
/**
* MSW handlers for playlists endpoints
*/
import { http, HttpResponse } from 'msw';
export const handlersPlaylists = [
http.get('*/api/v1/playlists', () => {
return HttpResponse.json({
success: true,
data: {
items: [
{ id: 'pl-1', name: 'My Playlist', title: 'My Playlist', track_count: 10, cover_url: 'https://picsum.photos/300' },
],
total: 1,
},
});
}),
http.post('*/api/v1/playlists', async ({ request }) => {
const body = (await request.json()) as { title?: string };
const title = body?.title ?? 'New Playlist';
return HttpResponse.json({
success: true,
data: {
playlist: {
id: 'pl-new',
name: title,
title,
track_count: 0,
like_count: 0,
user_id: 'user-1',
description: '',
is_public: true,
created_at: new Date().toISOString(),
updated_at: new Date().toISOString(),
},
},
});
}),
http.get('*/api/v1/playlists/recommendations', () => {
return HttpResponse.json({
success: true,
data: [
{ id: 'pl-rec-1', title: 'Recommended Playlist', name: 'Recommended Playlist', track_count: 8, cover_url: 'https://picsum.photos/300' },
],
});
}),
http.get('*/api/v1/playlists/search', ({ request }) => {
const url = new URL(request.url);
const query = url.searchParams.get('query') ?? '';
if (query === 'NonExistentPlaylist') {
return HttpResponse.json({ success: true, data: [] });
}
return HttpResponse.json({
success: true,
data: [
{ id: 'pl-search-1', user_id: 'u1', title: 'Summer Vibes', description: 'Sun-soaked tracks', is_public: true, track_count: 12, created_at: '2024-01-01T00:00:00Z', updated_at: '2024-01-01T00:00:00Z' },
{ id: 'pl-search-2', user_id: 'u1', title: 'Workout Mix', description: 'High energy', is_public: false, track_count: 8, created_at: '2024-01-02T00:00:00Z', updated_at: '2024-01-02T00:00:00Z' },
],
});
}),
http.get('*/api/v1/playlists/:id', ({ params }) => {
return HttpResponse.json({
success: true,
data: {
id: params.id,
name: 'Playlist Detail',
title: 'Playlist Detail',
description: 'A mock playlist',
tracks: [],
owner: { id: 'user-1', username: 'Owner' },
},
});
}),
http.put('*/api/v1/playlists/:id', () => {
return HttpResponse.json({
success: true,
data: { name: 'Updated Playlist' },
});
}),
http.delete('*/api/v1/playlists/:id', () => HttpResponse.json({ success: true })),
http.post('*/api/v1/playlists/:id/tracks', () => HttpResponse.json({ success: true, data: {} })),
http.delete('*/api/v1/playlists/:id/tracks/:trackId', () => HttpResponse.json({ success: true })),
http.post('*/api/v1/playlists/:id/share', ({ params }) => {
return HttpResponse.json({
success: true,
data: {
share_url: `https://veza.example/playlists/${params.id}/share/abc123`,
},
});
}),
http.get('*/api/v1/playlists/:id/collaborators', () => {
return HttpResponse.json({
success: true,
data: [],
});
}),
];

237
apps/web/src/mocks/handlers-tracks.ts Normal file
View file

@ -0,0 +1,237 @@
/**
* MSW handlers for tracks and comments endpoints
*/
import { http, HttpResponse } from 'msw';
const mockTrack = (overrides: Record<string, unknown> = {}) => ({
id: 'track-1',
title: 'Storybook Track',
artist: 'Test Artist',
duration: 240,
cover_url: 'https://picsum.photos/200',
coverUrl: 'https://picsum.photos/200',
genre: 'Pop',
created_at: '2024-01-01T00:00:00Z',
play_count: 100,
like_count: 10,
download_count: 5,
waveform_url: 'https://example.com/waveform.json',
comments_count: 5,
is_liked: false,
user: { id: 'user-1', username: 'ArtistUser', avatar_url: 'https://i.pravatar.cc/150?u=artist' },
...overrides,
});
export const handlersTracks = [
http.get('*/api/v1/tracks', () => {
return HttpResponse.json({
tracks: [mockTrack(), mockTrack({ id: 'track-2', title: 'Another Track', duration: 180, is_liked: true })],
pagination: { page: 1, limit: 20, total: 2, total_pages: 1 },
total: 2,
page: 1,
limit: 20,
});
}),
http.get('*/api/v1/tracks/:id/history', () => {
return HttpResponse.json({
success: true,
data: {
history: [
{ id: 'hist-1', track_id: 'track-1', user_id: 'user-1', action: 'created', created_at: '2024-01-01T00:00:00Z' },
{ id: 'hist-2', track_id: 'track-1', user_id: 'user-1', action: 'updated', old_value: '{"title": "Old Title"}', new_value: '{"title": "New Title"}', created_at: '2024-01-02T00:00:00Z' },
],
total: 2,
limit: 50,
offset: 0,
},
});
}),
http.get('*/api/v1/tracks/search', () => {
return HttpResponse.json({
tracks: [
mockTrack({ title: 'Search Result Track 1' }),
mockTrack({ id: 'track-2', title: 'Search Result Track 2', is_liked: true }),
],
pagination: { page: 1, limit: 20, total: 2, total_pages: 1 },
total: 2,
page: 1,
limit: 20,
});
}),
http.get('*/api/v1/tracks/:id/playback/heatmap', () => {
const segments = [
{ start_time: 0, end_time: 5, listen_count: 10, skip_count: 0, intensity: 1.0, average_play_time: 5 },
{ start_time: 5, end_time: 10, listen_count: 8, skip_count: 2, intensity: 0.8, average_play_time: 4 },
{ start_time: 10, end_time: 15, listen_count: 5, skip_count: 3, intensity: 0.5, average_play_time: 2.5 },
{ start_time: 15, end_time: 20, listen_count: 12, skip_count: 0, intensity: 0.9, average_play_time: 4.5 },
{ start_time: 20, end_time: 25, listen_count: 3, skip_count: 1, intensity: 0.3, average_play_time: 1.5 },
];
return HttpResponse.json({
success: true,
data: {
heatmap: {
track_id: '123',
track_duration: 180,
segment_size: 5,
total_sessions: 38,
segments,
max_intensity: 1.0,
generated_at: new Date().toISOString(),
},
},
});
}),
http.get('*/api/v1/tracks/:id/playback/dashboard', () => {
const timeSeries = Array.from({ length: 14 }, (_, i) => {
const d = new Date();
d.setDate(d.getDate() - (13 - i));
return {
date: d.toISOString().slice(0, 10),
sessions: 10 + i * 2,
total_play_time: (10 + i) * 180,
average_play_time: 120 + i * 5,
average_completion: 70 + i,
};
});
return HttpResponse.json({
dashboard: {
stats: { total_sessions: 156, total_play_time: 28400, average_play_time: 182, total_pauses: 42, average_pauses: 0.27, total_seeks: 18, average_seeks: 0.12, average_completion: 78.5, completion_rate: 72 },
trends: { sessions_trend: 12.5, play_time_trend: 8.2, completion_trend: -2.1, average_play_time: 175, average_completion: 76, total_sessions_7days: 48, total_sessions_30days: 156 },
time_series: timeSeries,
},
});
}),
http.get('*/api/v1/tracks/:id/stats', () => {
return HttpResponse.json({
success: true,
data: {
stats: {
total_plays: 1000,
unique_listeners: 500,
average_duration: 150,
completion_rate: 80,
views: 2000,
likes: 100,
comments: 20,
total_play_time: 50000,
downloads: 50,
},
},
});
}),
http.get('*/api/v1/tracks/:id', ({ params }) => {
return HttpResponse.json({
...mockTrack({ id: params.id }),
description: 'A test track for Storybook',
bpm: 120,
key: 'Cm',
stats: { plays: 100, likes: 10, downloads: 5, comments: 5 },
});
}),
http.get('*/api/v1/tracks/:id/comments', () => {
return HttpResponse.json({
comments: [
{
id: 'comment-1',
track_id: 'track-1',
user_id: 'user-2',
content: 'Great track!',
created_at: '2024-01-03T00:00:00Z',
updated_at: '2024-01-03T00:00:00Z',
is_edited: false,
user: { id: 'user-2', username: 'Commenter', avatar: 'https://i.pravatar.cc/150?u=2' },
replies: [],
},
],
total: 1,
page: 1,
limit: 20,
});
}),
http.post('*/api/v1/tracks/:id/comments', async ({ request }) => {
const body = (await request.json()) as { content?: string };
return HttpResponse.json({
comment: {
id: `new-comment-${Date.now()}`,
track_id: 'track-1',
user_id: 'user-1',
content: body.content,
created_at: new Date().toISOString(),
updated_at: new Date().toISOString(),
is_edited: false,
user: { id: 'user-1', username: 'StorybookUser', avatar: 'https://i.pravatar.cc/150?u=1' },
replies: [],
},
});
}),
http.get('*/api/v1/comments/:id/replies', () => {
return HttpResponse.json({ replies: [], total: 0, page: 1, limit: 20 });
}),
http.put('*/api/v1/comments/:id', async ({ request, params }) => {
const body = (await request.json()) as { content?: string };
return HttpResponse.json({
comment: {
id: params.id,
track_id: 'track-1',
user_id: 'user-1',
content: body.content ?? '',
is_edited: true,
created_at: new Date().toISOString(),
updated_at: new Date().toISOString(),
user: { id: 'user-1', username: 'StorybookUser', avatar: 'https://i.pravatar.cc/150?u=1' },
replies: [],
},
});
}),
http.get('*/api/v1/tracks*', () => {
return HttpResponse.json({
tracks: [mockTrack(), mockTrack({ id: 'track-2', title: 'Another Track', duration: 180, is_liked: true })],
pagination: { page: 1, limit: 20, total: 2, total_pages: 1 },
total: 2,
});
}),
http.post('*/api/v1/tracks', () => {
return HttpResponse.json({
success: true,
data: { id: `track-${Date.now()}`, title: 'New Uploaded Track', status: 'processing' },
});
}),
http.put('*/api/v1/tracks/:id', ({ params }) => {
return HttpResponse.json({
success: true,
track: { id: params.id, title: 'Updated Track Title', artist: 'Updated Artist' },
});
}),
http.delete('*/api/v1/tracks/:id', () => HttpResponse.json({ success: true })),
http.get('*/api/v1/tracks/:id/download', () => {
return new HttpResponse(new ArrayBuffer(1024), { headers: { 'Content-Type': 'audio/mpeg' } });
}),
http.post('*/api/v1/tracks/:id/like', () => HttpResponse.json({ success: true })),
http.delete('*/api/v1/tracks/:id/like', () => HttpResponse.json({ success: true })),
http.post('*/api/v1/tracks/:id/share', () => {
return HttpResponse.json({
success: true,
share: { token: 'share-token-123', url: 'https://veza.com/share/123' },
});
}),
http.delete('*/api/v1/comments/:id', () => HttpResponse.json({ success: true })),
];

37
apps/web/src/services/analyticsService.ts
View file

@ -45,19 +45,19 @@ export const analyticsService = {
params: { days: range.replace('d', '') }
});
const data = response.data?.data ?? response.data;
const data = (response.data?.data ?? response.data) as Record<string, unknown> | undefined;
if (!data || typeof data !== 'object') {
return {};
}
return {
total_tracks: data.total_tracks ?? 0,
total_plays: data.total_plays ?? 0,
total_revenue: data.total_revenue ?? 0,
followers: data.followers ?? 0,
profile_views: data.profile_views ?? 0,
trends: data.trends ?? { plays: 0, revenue: 0, followers: 0, views: 0 },
sparklines: data.sparklines ?? { plays: [0], revenue: [0], followers: [0], views: [0] },
total_tracks: (data.total_tracks as number | undefined) ?? 0,
total_plays: (data.total_plays as number | undefined) ?? 0,
total_revenue: (data.total_revenue as number | undefined) ?? 0,
followers: (data.followers as number | undefined) ?? 0,
profile_views: (data.profile_views as number | undefined) ?? 0,
trends: (data.trends as Record<string, number> | undefined) ?? { plays: 0, revenue: 0, followers: 0, views: 0 },
sparklines: (data.sparklines as Record<string, number[]> | undefined) ?? { plays: [0], revenue: [0], followers: [0], views: [0] },
};
} catch (error) {
logger.error('[Analytics] Failed to fetch global stats', { error });
@ -89,12 +89,25 @@ export const analyticsService = {
},
getTrafficSources: async () => {
// Not implemented in backend - returns empty until backend supports it
return [];
try {
const response = await apiClient.get<{ sources?: unknown[] }>('/analytics/traffic-sources');
return (response.data?.sources ?? []) as unknown[];
} catch (error) {
logger.warn('[Analytics] Failed to fetch traffic sources', { error });
return [];
}
},
getDeviceBreakdown: async () => {
// Not implemented in backend - returns zeros until backend supports it
return { mobile: 0, desktop: 0 };
try {
const response = await apiClient.get<{ mobile?: number; desktop?: number }>('/analytics/device-breakdown');
return {
mobile: response.data?.mobile ?? 0,
desktop: response.data?.desktop ?? 0,
};
} catch (error) {
logger.warn('[Analytics] Failed to fetch device breakdown', { error });
return { mobile: 0, desktop: 0 };
}
},
};

203
apps/web/src/stores/cartStore.test.ts
View file

@ -1,152 +1,107 @@
/**
* Cart store tests - Marketplace feature
* Plan V0.101: Tests marketplace 10
*/
import { describe, it, expect, beforeEach } from 'vitest';
import { useCartStore } from './cartStore';
import { Product, ProductLicense } from '@/types/marketplace';
import type { Product } from '@/types/marketplace';
const mockProduct1: Product = {
id: 'product-1',
title: 'Test Product 1',
description: 'Description 1',
price: 10.99,
sellerId: 'seller-1',
category: 'audio',
tags: ['tag1'],
files: [],
images: [],
createdAt: new Date().toISOString(),
updatedAt: new Date().toISOString(),
stats: {
views: 0,
sales: 0,
rating: 0,
reviewsCount: 0,
},
const mockProduct: Product = {
id: 'prod-1',
seller_id: 'seller-1',
title: 'Test Track',
description: 'A test product',
price: 19.99,
currency: 'EUR',
status: 'active',
product_type: 'track',
created_at: '2024-01-01T00:00:00Z',
updated_at: '2024-01-01T00:00:00Z',
};
const mockProduct2: Product = {
...mockProduct1,
id: 'product-2',
title: 'Test Product 2',
price: 20.0,
};
const mockLicense: ProductLicense = {
id: 'commercial',
name: 'Commercial License',
price: 50.0,
description: 'For commercial use',
features: ['Feature A'],
type: 'standard',
id: 'prod-2',
seller_id: 'seller-1',
title: 'Another Track',
description: 'Another product',
price: 9.99,
currency: 'EUR',
status: 'active',
product_type: 'track',
created_at: '2024-01-01T00:00:00Z',
updated_at: '2024-01-01T00:00:00Z',
};
describe('cartStore', () => {
beforeEach(() => {
useCartStore.setState({ items: [] });
localStorage.clear();
useCartStore.getState().clearCart();
});
it('should start with an empty cart', () => {
const state = useCartStore.getState();
expect(state.items).toEqual([]);
expect(state.getItemCount()).toBe(0);
it('should add item to empty cart', () => {
const { addItem, getItemCount } = useCartStore.getState();
addItem(mockProduct);
const { items } = useCartStore.getState();
expect(items).toHaveLength(1);
expect(items[0].product).toEqual(mockProduct);
expect(items[0].quantity).toBe(1);
expect(getItemCount()).toBe(1);
});
it('should add items to cart', () => {
useCartStore.getState().addItem(mockProduct1);
const state = useCartStore.getState();
expect(state.items).toHaveLength(1);
expect(state.items[0].product).toEqual(mockProduct1);
expect(state.items[0].quantity).toBe(1);
expect(state.items[0].cartId).toBeDefined();
it('should increase quantity when adding same product again', () => {
const { addItem } = useCartStore.getState();
addItem(mockProduct);
addItem(mockProduct);
const { items } = useCartStore.getState();
expect(items).toHaveLength(1);
expect(items[0].quantity).toBe(2);
});
it('should increment quantity for existing item', () => {
useCartStore.getState().addItem(mockProduct1);
useCartStore.getState().addItem(mockProduct1);
const state = useCartStore.getState();
expect(state.items).toHaveLength(1);
expect(state.items[0].quantity).toBe(2);
});
it('should add different products as separate items', () => {
useCartStore.getState().addItem(mockProduct1);
useCartStore.getState().addItem(mockProduct2);
const state = useCartStore.getState();
expect(state.items).toHaveLength(2);
});
it('should add same product with DIFFERENT license as separate items', () => {
useCartStore.getState().addItem(mockProduct1); // Standard license (implicit)
useCartStore.getState().addItem(mockProduct1, mockLicense); // Commercial license
const state = useCartStore.getState();
expect(state.items).toHaveLength(2);
expect(state.items[0].selectedLicense).toBeUndefined();
expect(state.items[1].selectedLicense).toEqual(mockLicense);
});
it('should increment quantity for existing item with SAME license', () => {
useCartStore.getState().addItem(mockProduct1, mockLicense);
useCartStore.getState().addItem(mockProduct1, mockLicense);
const state = useCartStore.getState();
expect(state.items).toHaveLength(1);
expect(state.items[0].quantity).toBe(2);
});
it('should remove items by cartId', () => {
useCartStore.getState().addItem(mockProduct1);
const item = useCartStore.getState().items[0];
useCartStore.getState().removeItem(item.cartId);
const state = useCartStore.getState();
expect(state.items).toHaveLength(0);
});
it('should not remove item with wrong cartId', () => {
useCartStore.getState().addItem(mockProduct1);
useCartStore.getState().removeItem('wrong-id');
const state = useCartStore.getState();
expect(state.items).toHaveLength(1);
it('should remove item from cart', () => {
const { addItem, removeItem } = useCartStore.getState();
addItem(mockProduct);
const cartId = useCartStore.getState().items[0].cartId;
removeItem(cartId);
expect(useCartStore.getState().items).toHaveLength(0);
});
it('should update quantity', () => {
useCartStore.getState().addItem(mockProduct1);
const item = useCartStore.getState().items[0];
useCartStore.getState().updateQuantity(item.cartId, 5);
const state = useCartStore.getState();
expect(state.items[0].quantity).toBe(5);
const { addItem, updateQuantity } = useCartStore.getState();
addItem(mockProduct);
const cartId = useCartStore.getState().items[0].cartId;
updateQuantity(cartId, 5);
expect(useCartStore.getState().items[0].quantity).toBe(5);
});
it('should remove item when quantity is 0', () => {
useCartStore.getState().addItem(mockProduct1);
const item = useCartStore.getState().items[0];
it('should remove item when quantity set to 0', () => {
const { addItem, updateQuantity } = useCartStore.getState();
addItem(mockProduct);
const cartId = useCartStore.getState().items[0].cartId;
updateQuantity(cartId, 0);
expect(useCartStore.getState().items).toHaveLength(0);
});
useCartStore.getState().updateQuantity(item.cartId, 0);
it('should calculate total correctly', () => {
const { addItem, getTotal } = useCartStore.getState();
addItem(mockProduct);
addItem(mockProduct2);
expect(getTotal()).toBeCloseTo(19.99 + 9.99);
});
const state = useCartStore.getState();
expect(state.items).toHaveLength(0);
it('should calculate total with quantity', () => {
const { addItem, updateQuantity, getTotal } = useCartStore.getState();
addItem(mockProduct);
updateQuantity(useCartStore.getState().items[0].cartId, 3);
expect(getTotal()).toBe(19.99 * 3);
});
it('should clear cart', () => {
useCartStore.getState().addItem(mockProduct1);
useCartStore.getState().clearCart();
const state = useCartStore.getState();
expect(state.items).toEqual([]);
});
it('should calculate total correctly (including licenses)', () => {
useCartStore.getState().addItem(mockProduct1); // 10.99
useCartStore.getState().addItem(mockProduct1, mockLicense); // 50.00
const total = useCartStore.getState().getTotal();
expect(total).toBeCloseTo(60.99, 2);
const { addItem, clearCart, getItemCount } = useCartStore.getState();
addItem(mockProduct);
addItem(mockProduct2);
clearCart();
expect(useCartStore.getState().items).toHaveLength(0);
expect(getItemCount()).toBe(0);
});
});

2
apps/web/vite.config.ts
View file

@ -45,7 +45,7 @@ export default defineConfig(({ mode }) => {
},
},
server: {
port: 5173,
port: parseInt(process.env.PORT || '5173', 10),
host: true,
// Allow dev access via the configured domain (VITE_DOMAIN in .env.local)
allowedHosts: [domain],

42
docker/haproxy/certs/README.md Normal file
View file

@ -0,0 +1,42 @@
# HAProxy SSL Certificates
**Never commit private keys (`.key`) or certificate files (`.pem`) to git.**
This directory holds SSL certificates for HAProxy HTTPS. The files are gitignored.
## Generating Certificates Locally
### Self-Signed (Development/Staging)
From the repository root:
```bash
cd docker/haproxy/certs
openssl req -x509 -nodes -days 365 -newkey rsa:4096 \
-keyout veza.key -out veza.crt -subj "/CN=veza.local"
cat veza.crt veza.key > veza.pem
```
Or use the project script (creates in `config/ssl/` — copy to this dir if needed):
```bash
./scripts/generate-ssl-cert.sh veza.local
# Then: cp config/ssl/veza.pem config/ssl/key.pem config/ssl/cert.pem docker/haproxy/certs/
```
### Production (Let's Encrypt)
```bash
certbot certonly --standalone -d yourdomain.com
cat /etc/letsencrypt/live/yourdomain.com/fullchain.pem \
/etc/letsencrypt/live/yourdomain.com/privkey.pem > docker/haproxy/certs/veza.pem
```
## Certificate Rotation
If a private key may have been exposed:
1. Generate new certificate and key (commands above).
2. Replace `veza.pem`, `veza.key`, `veza.crt` in this directory.
3. Restart HAProxy.
4. Document rotation in `veza-docs/` if applicable.

131
docs/AUDIT_103_CORRECTIONS.md Normal file
View file

@ -0,0 +1,131 @@
# Corrections par rapport à l'audit 103
**Date** : 16 février 2026
**Référence** : `103_audit_global_features_states.md`
**Objectif** : Documenter les écarts entre l'audit et l'état réel du backend, sans modifier le fichier d'audit lui-même.
---
## 1. Module 6 — Social & Communauté
**Audit (ligne 466)** : « Le frontend a des composants Social mais ils appellent des endpoints qui **n'existent pas** dans le backend (uniquement MSW mocks) »
**Correction** : Le backend expose des routes Social dans `veza-backend-api/internal/api/routes_social.go` :
- `GET /api/v1/social/feed` — flux social
- `GET /api/v1/social/posts/user/:user_id` — posts par utilisateur
- `GET /api/v1/social/groups` — liste des groupes
- `GET /api/v1/social/groups/:id` — détail d'un groupe
- `POST /api/v1/social/posts` — créer un post (protégé)
- `POST /api/v1/social/like` — like (protégé)
- `POST /api/v1/social/comments` — commenter (protégé)
- `POST /api/v1/social/groups` — créer un groupe (protégé)
- `POST /api/v1/social/groups/:id/join` — rejoindre un groupe (protégé)
- `DELETE /api/v1/social/groups/:id/leave` — quitter un groupe (protégé)
---
## 2. Module 9 — Gestion de Matériel (Gear)
**Audit (ligne 506)** : « Le frontend a des composants via MSW mocks (`/api/v1/inventory/gear`), mais **aucun endpoint backend n'existe** »
**Correction** : Le backend expose des routes Gear dans `veza-backend-api/internal/api/routes_gear.go` :
- `GET /api/v1/inventory/gear` — liste du matériel
- `POST /api/v1/inventory/gear` — créer un équipement (protégé)
- `GET /api/v1/inventory/gear/:id` — détail d'un équipement
- `PUT /api/v1/inventory/gear/:id` — modifier (protégé)
- `DELETE /api/v1/inventory/gear/:id` — supprimer (protégé)
---
## 3. Live Streams
**Audit (ligne 135)** : « `GET /api/v1/live/streams/*` — pas de routes live dans le backend »
**Correction** : Le backend expose des routes Live dans `veza-backend-api/internal/api/routes_live.go` :
- `GET /api/v1/live/streams` — liste des streams
- `GET /api/v1/live/streams/:id` — détail d'un stream
- `POST /api/v1/live/streams` — créer un stream (protégé)
---
## 4. Routes Notifications
**Audit** : Le rapport 103 indique un backend « limité » pour les notifications.
**Correction** : Les routes `/api/v1/notifications/*` existent dans `veza-backend-api/internal/api/routes_core.go` (lignes 344-353) :
- `GET /api/v1/notifications` — liste des notifications
- `GET /api/v1/notifications/unread-count` — nombre de non lues
- `POST /api/v1/notifications/:id/read` — marquer comme lue
- `POST /api/v1/notifications/read-all` — tout marquer comme lu
- `DELETE /api/v1/notifications/:id` — supprimer une notification
- `DELETE /api/v1/notifications` — supprimer toutes les notifications
**Phase 2.2** : Création automatique de notifications pour follow, like et comment (handlers ProfileHandler, TrackHandler, CommentHandler).
---
## 5. Job Queue (RabbitMQ)
**Audit** : Mention de job queue non connectée.
**Correction** : RabbitMQ est configuré et connecté via `config.RabbitMQEventBus` (`veza-backend-api/internal/config/config.go`). Le service démarre avec RabbitMQ si `RABBITMQ_ENABLE=true`. Le health check `/readyz` inclut RabbitMQ (mode dégradé si indisponible).
---
## 6. Stream Server — Callback HTTP
**Audit** : Référence au Stream Server.
**Correction** : Le backend expose un endpoint de callback pour le Stream Server :
- `POST /api/v1/internal/tracks/:id/stream-ready` — callback après transcoding (authentifié par `X-Internal-API-Key`)
- Également disponible en legacy : `POST /internal/tracks/:id/stream-ready`
---
## 7. Recherche unifiée
**Audit (ligne 192)** : « /search » listé comme inexistant.
**Correction** : La recherche unifiée existe dans `veza-backend-api/internal/api/routes_search.go` :
- `GET /api/v1/search` — recherche unifiée (tracks, users, playlists)
---
## 8. Tests E2E Playwright
**Prérequis** : Backend API doit être démarré sur `http://localhost:8080` pour les tests smoke/auth (login, upload, playlists).
**Configuration** :
- `PORT=5174` : évite conflit avec dev server sur 5173
- `playwright.config.ts` : webServer timeout 5 min, Vite respecte `process.env.PORT`
- `vite.config.ts` : `server.port` utilise `process.env.PORT || 5173`
**Commande** :
```bash
# Backend + Frontend requis
cd apps/web && PORT=5174 VITE_API_URL=http://localhost:8080/api/v1 npx playwright test --project=chromium
```
---
## 9. Analytics — track_plays.device
**Vérification** : La table `track_plays` possède bien la colonne `device` (modèle `TrackPlay` dans `internal/models/track_play.go`). Le handler `GetDeviceBreakdown` interroge correctement cette colonne. `GetTrafficSources` renvoie `[]` car `track_plays` n'a pas de colonne `source` — comportement documenté dans le handler.
---
## 10. Routes orphelines (backend exposé, frontend non consommateur)
Routes disponibles pour usage futur (pas de UI dédiée actuellement) :
- `POST /api/v1/tracks/initiate`, `POST /api/v1/tracks/complete`, `GET /api/v1/tracks/resume/:uploadId` — upload chunked
- `POST /api/v1/tracks/batch/delete`, `POST /api/v1/tracks/batch/update` — opérations batch
- `GET /api/v1/tracks/shared/:token` — partage par token
- `GET /api/v1/users/me/export` — export données utilisateur
- `POST /api/v1/audit/cleanup` — nettoyage audit (admin)

93
docs/MONITORING_SETUP.md Normal file
View file

@ -0,0 +1,93 @@
# External Uptime Monitoring Setup
This guide describes how to configure external uptime monitoring for the Veza platform. Use this to get notified when services become unavailable.
## Recommended Tools
- **UptimeRobot** (free tier: 50 monitors) — [uptimerobot.com](https://uptimerobot.com)
- **Better Uptime** — [betteruptime.com](https://betteruptime.com)
- **Pingdom** — [pingdom.com](https://pingdom.com)
- **Prometheus Blackbox Exporter** (self-hosted) — if all infra is self-hosted
## Endpoints to Monitor
| Endpoint | Service | Purpose |
|----------|---------|---------|
| `GET /health` or `GET /healthz` | Backend API | Basic liveness |
| `GET /readyz` | Backend API | Readiness (DB, Redis) |
| `GET /api/v1/health` | Backend API | API health (if different from root) |
| `GET /health` | Stream Server | Stream service liveness |
| `GET /health` | Chat Server | Chat service liveness |
**Example URLs** (replace with your domain):
- `https://api.veza.com/healthz`
- `https://api.veza.com/readyz`
- `https://api.veza.com/api/v1/health`
- `https://stream.veza.com/health`
- `https://chat.veza.com/health`
## UptimeRobot Configuration
### 1. Create Monitors
1. Log in to [UptimeRobot](https://uptimerobot.com)
2. Add Monitor → HTTP(s)
3. For each endpoint:
- **Friendly Name**: e.g. "Veza API Health"
- **URL**: e.g. `https://api.veza.com/healthz`
- **Monitoring Interval**: 5 minutes
- **Monitor Type**: HTTP(s)
### 2. Configure Alert Contacts
1. My Settings → Alert Contacts
2. Add Email: your-team@example.com
3. Add Slack (optional): webhook URL for `#alerts` channel
### 3. Alert Settings
- **Default**: Alert when 2 consecutive checks fail
- **Alert frequency**: Every 5 minutes until resolved (or configure as needed)
## Alert Procedure
1. **On failure**: UptimeRobot sends alert to configured contacts
2. **Check**: Visit the dashboard to see which endpoint failed
3. **Investigate**: Check logs, Prometheus metrics, Grafana
4. **Resolve**: Restart service, fix deployment, or rollback
5. **Post-mortem**: Document root cause and preventive actions
## Checklist
- [ ] Monitors created for all critical endpoints
- [ ] Alert contacts configured (email, Slack)
- [ ] Alert threshold: 2 consecutive failures
- [ ] Monitoring interval: 5 minutes
- [ ] Runbook or escalation path documented
## Integration with Prometheus
If you use Prometheus Blackbox Exporter:
```yaml
# prometheus.yml
scrape_configs:
- job_name: 'blackbox'
metrics_path: /probe
params:
module: [http_2xx]
static_configs:
- targets:
- https://api.veza.com/healthz
- https://api.veza.com/readyz
relabel_configs:
- source_labels: [__address__]
target_label: __param_target
- source_labels: [__param_target]
target_label: instance
- target_label: __address__
replacement: blackbox-exporter:9115
```
Configure alerts in Grafana or Alertmanager for probe failures.

1
docs/REMEDIATION_PROGRESS.md
View file

@ -156,6 +156,7 @@ Référence : [archive/AUDIT_TECHNIQUE_INTEGRAL_2026_02_16.md](archive/AUDIT_TEC
## Checklist de validation finale (rappel)
- **Validation légère (machine limitée)** : `./scripts/validate-light.sh` — évite `go test ./...` et Playwright qui peuvent saturer la RAM. Lance : go build, tsc, npm build, tests auth/hooks/services/misc, cargo build.
- `npx vitest run` : 0 échec (ou < 5 % skippés avec ticket). Sur machine limitée en RAM/CPU : utiliser `npm run test:groups` ou les scripts par groupe (`test:auth`, `test:tracks`, etc.) pour éviter la saturation des ressources.
- `npm run build` : succès sans warning bloquant.
- `npx tsc --noEmit` : 0 erreur.

591
docs/archive/AUDIT_TECHNIQUE_INTEGRAL_2026_02_16.md
View file

@ -1,38 +1,54 @@
# Rapport d'audit technique intégral — Monorepo Veza
# AUDIT TECHNIQUE INTÉGRAL — MONOREPO VEZA
**Date** : 16 février 2026
**Auditeur** : Architecte logiciel senior / Expert sécurité
**Mandataire** : Comité d'investissement
**Périmètre** : Monorepo complet — `talas/veza`
**Méthode** : Analyse statique exhaustive du code source, des configurations et de l'infrastructure
**Méthode** : Analyse statique exhaustive du code source, configurations, CI/CD et infrastructure
---
## Executive summary
## EXECUTIVE SUMMARY
Veza est une **plateforme audio collaborative** (type Bandcamp/SoundCloud) avec marketplace, fonctionnalités sociales, chat temps réel et streaming audio. Le projet est techniquement ambitieux avec une stack polyglotte (Go, Rust, TypeScript/React).
Veza est une **plateforme audio collaborative** (type Bandcamp/SoundCloud) avec marketplace, fonctionnalités sociales, chat temps réel et streaming audio. Le projet utilise une stack polyglotte (Go, Rust, TypeScript/React).
### Verdict synthétique
### Verdict
| Critère | Score | Commentaire |
|---------|-------|-------------|
| **Architecture** | 6/10 | Bonne séparation des services, dual-patterns frontend, pollution documentaire |
| **Maintenabilité** | 5/10 | 470K+ LOC, ~137 fichiers .md à la racine, dette structurelle |
| **Sécurité** | 6/10 | Fondations solides, vulnérabilités npm, HLS public, bypass flags |
| **Scalabilité** | 7/10 | Architecture microservices, K8s ready, HAProxy |
| Architecture | 6.5/10 | Bonne séparation des services, dual-patterns frontend résiduels |
| Maintenabilité | 5.5/10 | Dette structurelle, 60+ TODOs backend, documentation pléthorique |
| Sécurité | 7/10 | Fondations solides (JWT, bcrypt, CSRF, RBAC), quelques points à surveiller |
| Scalabilité | 7/10 | Architecture microservices, K8s prêt, circuit breakers présents |
**Peut-on lancer en production ?** Oui, avec précaution. Le mode "Boot" (RabbitMQ, ClamAV, Chat/Stream désactivés) permet un déploiement minimal. Pour un déploiement complet, réactiver les services un par un.
**Peut-on vendre le produit ?** Oui. Le produit a de la valeur fonctionnelle. Stabilisation recommandée avant due diligence.
**Peut-on lancer en production ?** Non, pas en l'état. Correctifs critiques requis (12 semaines estimées).
**Peut-on vendre le produit ?** Le produit a de la valeur fonctionnelle. Stabilisation requise avant due diligence.
**Faut-il réécrire ?** Non. Refactoring ciblé suffisant.
---
## 1. Cartographie globale
## TABLE DES MATIÈRES
1. [Cartographie globale](#1-cartographie-globale)
2. [Ce que le produit permet réellement](#2-ce-que-le-produit-permet-réellement)
3. [Validation fonctionnelle](#3-validation-fonctionnelle)
4. [Audit de sécurité — OWASP TOP 10](#4-audit-de-sécurité--owasp-top-10)
5. [Dette technique](#5-dette-technique)
6. [Qualité architecturale](#6-qualité-architecturale)
7. [Infra & DevOps](#7-infra--devops)
8. [Risques business](#8-risques-business)
9. [Plan d'action priorisé](#9-plan-daction-priorisé)
---
## 1. CARTOGRAPHIE GLOBALE
### 1.1 Stack complète
| Couche | Technologie | Version | Rôle |
|--------|-------------|---------|------|
|--------|------------|---------|------|
| **Frontend** | React + TypeScript | 18.2 / TS 5.3 | SPA |
| **Build** | Vite | 7.1.5 | Bundler |
| **State** | Zustand + TanStack Query | 4.5 / 5.17 | UI state + server state |
@ -40,451 +56,470 @@ Veza est une **plateforme audio collaborative** (type Bandcamp/SoundCloud) avec
| **Styling** | Tailwind CSS | 4.0 | Styles |
| **UI** | Radix UI + Lucide | - | Composants |
| **i18n** | i18next | 25.5 | Internationalisation |
| **Backend API** | Go + Gin | Go 1.24 (go.mod) / 1.23 (CI) | REST API |
| **Backend API** | Go + Gin | Go 1.24 / Gin 1.11 | REST API |
| **ORM** | GORM | 1.30 | Accès DB |
| **Chat** | Rust + Axum | Axum 0.8 | WebSocket temps réel |
| **Streaming** | Rust + Axum | Axum 0.8 | Audio HLS |
| **Streaming** | Rust + Axum | Axum 0.8 | Audio HLS/WebRTC |
| **Database** | PostgreSQL | 16 | Persistance |
| **Cache** | Redis | 7 | Sessions, rate limiting, CSRF |
| **Queue** | RabbitMQ | 3 | Events async |
| **Paiement** | Hyperswitch | 2025.01.21 | Checkout |
| **Monitoring** | Prometheus + Sentry | - | Métriques + erreurs |
| **CI/CD** | GitHub Actions | - | ci.yml, cd.yml |
| **Orchestration** | Turborepo + Docker | - | Monorepo + déploiement |
| **CI/CD** | GitHub Actions | - | CI + CD workflows |
| **Orchestration** | Turborepo + Docker | - | Monorepo + conteneurs |
### 1.2 Organisation du repo
```
veza/
├── apps/web/ # Frontend React (~200K LOC)
│ ├── src/features/ # 25 modules fonctionnels
├── apps/web/ # Frontend React
│ ├── src/features/ # Modules fonctionnels
│ ├── src/components/ # Composants partagés + views
│ ├── src/services/ # API client, socialService, etc.
│ ├── src/services/ # API client (apiClient, webhookService, etc.)
│ ├── src/stores/ # Zustand stores
│ ├── src/mocks/ # MSW handlers
│ ├── src/mocks/ # MSW handlers (8 fichiers)
│ └── e2e/ # Playwright tests
├── veza-backend-api/ # Backend Go (~150K LOC)
├── veza-backend-api/ # Backend Go
│ ├── cmd/api/ # Entry point
│ ├── internal/handlers/ # ~88 handlers
│ ├── internal/middleware/ # Auth, rate limit, CSRF, RBAC
│ ├── internal/services/ # JWT, session, upload, webhook
│ ├── migrations/ # 42+ fichiers SQL
│ └── tests/ # Tests spécialisés
├── veza-chat-server/ # Chat Rust (Axum, WebSocket)
├── veza-stream-server/ # Streaming Rust (HLS, audio)
│ ├── internal/
│ │ ├── handlers/ # Handlers HTTP
│ │ ├── middleware/ # Auth, CSRF, rate limit, RBAC
│ │ ├── core/ # Domain logic (auth, track, marketplace)
│ │ ├── services/ # Services métier
│ │ └── config/ # Configuration (validation stricte)
│ └── migrations/ # SQL migrations
├── veza-chat-server/ # Chat Rust (compile OK)
├── veza-stream-server/ # Streaming Rust (compile OK)
├── veza-common/ # Bibliothèque Rust partagée
├── .github/workflows/ # ci.yml, cd.yml (playwright.yml supprimé)
├── config/ # HAProxy, SSL
└── docker-compose*.yml # prod, dev, test, staging
├── packages/ # NPM shared packages
├── config/ # HAProxy, Prometheus
├── k8s/ # Manifestes Kubernetes
├── .github/workflows/ # ci.yml, cd.yml
└── docs/ # Documentation (index dans docs/README.md)
```
### 1.3 Dépendances critiques et obsolètes
| Dépendance | Service | Risque | Statut |
|-----------|---------|--------|--------|
| `gin-gonic/gin v1.11` | Backend | Faible | ✅ À jour |
| `gorm v1.30` | Backend | Faible | ✅ À jour |
| `golang-jwt/jwt v5.3` | Backend | Faible | ✅ À jour |
| `axum 0.8` | Chat/Stream | Faible | ✅ À jour |
| `sqlx 0.8` | Chat/Stream | Faible | ✅ À jour |
| `react 18.2` | Frontend | Faible | ✅ Stable |
| `axios 1.13.5` | Frontend | Moyen | ⚠️ Override >=1.13.5 (CVE) |
| **cookie** | @lhci/cli@sentry/node | Moyen | ❌ <0.7.0 vulnérable |
| **jose** | newman | Modéré | ❌ 3.04.15.4 vulnérable |
| **node-forge** | newman | Élevé | ❌ <=1.3.1 vulnérable |
| **qs** | postman-request | Élevé | ❌ <6.14.1 DoS |
| **lodash** | postman-collection | Modéré | ❌ 4.04.17.21 prototype pollution |
**Note** : Les vulnérabilités npm concernent principalement des dépendances de dev (`@lhci/cli`, `newman`). Pas dimpact direct sur le runtime frontend si ces outils ne sont pas utilisés en production.
### 1.4 Schéma des flux
### 1.3 Flux de données
```
[Frontend] --HTTP/API--> [Backend Go] --GORM--> [PostgreSQL]
| | |
|--WebSocket--> [Chat Server Rust] --SQLx--> [PostgreSQL]
| |
|--WebSocket--> [Stream Server Rust] --SQLx--> [PostgreSQL]
| |
|--HLS--> [Stream Server] (segments audio)
|
+--[RabbitMQ]--> Workers (email, thumbnails, webhooks)
+--[Redis]--> Cache, sessions, rate limit, CSRF
Browser → HAProxy (80/443)
├── /api/* → Backend Go (8080)
│ ├── PostgreSQL — données principales
│ ├── Redis — sessions, cache, rate limiting, CSRF
│ └── RabbitMQ — événements asynchrones
├── /ws → Chat Server Rust (3000)
│ ├── PostgreSQL — messages
│ └── Redis — pub/sub
├── /stream → Stream Server Rust (3001)
│ ├── PostgreSQL — métadonnées
│ └── Redis — cache
└── /* → Frontend SPA (5173)
```
### 1.5 Incohérences techniques
### 1.4 Dépendances critiques
| Élément | Constat | Impact |
|---------|---------|--------|
| **Go version** | go.mod: 1.24.0, CI: 1.23 | Risque de build différent selon lenvironnement |
| **Playwright workflow** | `.github/workflows/playwright.yml` supprimé | E2E exécutés dans ci.yml uniquement |
| **veza-common** | Référence `../veza-common` (hors workspaces npm) | Build Rust OK, dépendance path |
| **RABBITMQ_URL vs AMQP_URL** | docker-compose.prod utilise `AMQP_URL` | Cohérence à vérifier |
| Dépendance | Service | Statut |
|-----------|---------|--------|
| gin-gonic/gin v1.11 | Backend | ✅ À jour |
| gorm v1.30 | Backend | ✅ À jour |
| golang-jwt/jwt v5.3 | Backend | ✅ À jour |
| axum 0.8 | Chat/Stream | ✅ À jour |
| sqlx 0.8 | Chat/Stream | ✅ À jour |
| react 18.2 | Frontend | ✅ Stable |
| axios 1.13.5+ | Frontend | ✅ Override ≥1.13.5 (CVE) |
| npm audit | Frontend | ✅ 0 vulnérabilités |
### 1.5 Technologies réellement utilisées vs déclarées
- **Déclarées et utilisées** : React, Vite, Tailwind, Go, Gin, GORM, Rust, Axum, PostgreSQL, Redis, RabbitMQ
- **Déclarées mais partiellement** : HLS streaming (flag `HLS_STREAMING: false`), Notifications (flag `NOTIFICATIONS: false`)
- **Abandonnées** : veza-mobile (35+ erreurs), packages/design-system (sous-utilisé)
---
## 2. Ce que le produit permet réellement
## 2. CE QUE LE PRODUIT PERMET RÉELLEMENT
### 2.1 Features pleinement implémentées ✅
| Feature | Backend | Frontend | Tests | MSW |
|---------|---------|----------|-------|-----|
| Authentification (email/password) | ✅ | ✅ | ✅ | ✅ |
| 2FA TOTP | ✅ | ⚠️ Bug | ✅ | ✅ |
| OAuth | ✅ Partiel | ✅ | - | ✅ |
| Sessions management | ✅ | ✅ | ✅ | ✅ |
| Upload de tracks (chunked) | ✅ | ✅ | ✅ | ✅ |
| CRUD tracks | ✅ | ✅ | ✅ | ✅ |
| Streaming HLS | ✅ | ✅ | ✅ | ✅ |
| Player audio | - | ✅ | ✅ | ✅ |
| Playlists (CRUD + collaboration) | ✅ | ✅ | ✅ | ✅ |
| Recherche | ✅ | ✅ | ✅ | ✅ |
| Profil utilisateur | ✅ | ✅ | ✅ | ✅ |
| Notifications | ✅ | ✅ | ✅ | ✅ |
| Chat temps réel | ✅ | ✅ | ⚠️ | ✅ |
| Marketplace | ✅ | ✅ | ✅ | ✅ |
| Social (feed, posts, groupes) | ✅ | ✅ | ✅ | ✅ |
| Webhooks | ✅ | ✅ | ✅ | ✅ |
| Admin dashboard | ✅ | ✅ | ✅ | ✅ |
| Settings | ✅ | ✅ | ✅ | ✅ |
| Internationalisation (FR/EN) | - | ✅ | - | - |
| Feature | Backend | Frontend | Notes |
|---------|---------|----------|-------|
| Auth (register, login, JWT, refresh) | ✅ | ✅ | Complet |
| 2FA (TOTP) | ✅ | ✅ | Complet |
| OAuth (Google, GitHub, Discord) | ✅ | ✅ | Complet |
| Profils utilisateur | ✅ | ✅ | Complet |
| Upload de tracks (chunked) | ✅ | ✅ | Complet |
| CRUD Tracks | ✅ | ✅ | Complet |
| Playlists (CRUD, collaboration) | ✅ | ✅ | Complet |
| Chat WebSocket | ✅ | ✅ | Complet |
| Recherche | ✅ | ✅ | Complet |
| Social (follows, blocks) | ✅ | ✅ | Complet |
| Administration | ✅ | ✅ | Complet |
| Marketplace | ✅ | ✅ | Complet |
| Webhooks | ✅ | ✅ | Backend + webhookService.ts (apiClient) |
### 2.2 Features partiellement implémentées ⚠️
| Feature | État | Détail |
|---------|------|--------|
| **2FA Login** | ⚠️ Bug | `TwoFactorVerify.tsx` — possible mauvais endpoint/service |
| **OAuth user lookup** | ⚠️ Non implémenté | `database.go:559` — TODO non résolu |
| **Live streaming** | ⚠️ Mocked | Routes backend existent, frontend mocké via MSW |
| **Gear / Inventory** | ⚠️ Mocked | MSW handlers présents, backend partiel |
| Feature | Localisation | Statut |
|---------|-------------|--------|
| Dashboard | Backend MSW | Mocks partiels |
| HLS Streaming | `HLS_STREAMING: false` | Endpoints manquants |
| Notifications | `NOTIFICATIONS: false` | Non implémenté |
| Role Management | `ROLE_MANAGEMENT: false` | Partiel |
| Playlist Share | `PLAYLIST_SHARE: false` | Partiel |
### 2.3 Features fantômes (déclarées mais retirées)
### 2.3 Features fantômes (UI sans backend)
| Feature | Preuve | Statut |
|---------|--------|--------|
| Education/Tutorials | Routes backend existent | Supprimée du frontend |
| Gamification | MSW handlers existaient | Supprimée du frontend |
| Studio | Composants dans `components/studio/` | Supprimée des routes |
| Feature | Localisation | Statut |
|---------|-------------|--------|
| Studio (Cloud File Browser) | `apps/web/src/features/studio/` | UI seule |
| Inventory (Gear) | `apps/web/src/features/inventory/` | UI + mocks |
| Education | `apps/web/src/features/education/` | MSW uniquement |
| Gamification | MSW handlers | MSW uniquement |
| Live Streaming | Route `/live` | Contenu minimal |
### 2.4 Features mortes / Code mort
### 2.4 Incohérences produit/code
| Élément | Localisation | État |
|---------|-------------|------|
| `webhookApi.ts` | Frontend | **Supprimé**`socialService.ts` utilise `apiClient` directement |
| `cmd/modern-server/main.go` | Backend | Serveur alternatif, code commenté |
| `cmd/backup/main.go` | Backend | Outil de backup, usage incertain |
| `pages/` directory | Frontend | Legacy, doublon de `features/*/pages/` |
| `components/education/`, `components/studio/` | Frontend | Composants pour features retirées |
### 2.5 Incohérences produit/code
1. **Dual-pattern views** : `components/views/` ET `features/*/pages/` — architecture incohérente
2. **Routes Education** : Backend expose des routes publiques, feature retirée du frontend
3. **webhookApi.ts supprimé** : Les webhooks restent fonctionnels via `socialService` + `apiClient`
- **webhookApi.ts supprimé** : Le fichier `apps/web/src/features/webhooks/api/webhookApi.ts` est supprimé (git status). Le frontend utilise désormais `webhookService.ts` qui appelle `apiClient` directement. Les types générés (`WebhookApi` dans `api.ts`) restent disponibles via OpenAPI.
- **Mode Boot** : `VEZA_MODE=boot` désactive RabbitMQ, ClamAV, Chat, Stream, S3. Le cœur (Backend + Web) fonctionne.
---
## 3. Validation fonctionnelle
## 3. VALIDATION FONCTIONNELLE
### 3.1 Couverture de tests
| Composant | Fichiers test | Type | Fiabilité |
|-----------|--------------|------|-----------|
| Frontend | 269+ fichiers | Unit + Component | Seuil 80% configuré |
| Backend Go | 264+ fichiers | Unit + Integration + Security | Bonne |
| Chat Rust | 18+ `#[test]` | Unit | Basique |
| Stream Rust | 50+ `#[test]` | Unit | Correcte |
| E2E | 30 specs | Playwright (4 browsers) | Correcte |
| Storybook | 296 stories | Visual + Audit | Complète |
| Composant | Type | Statut |
|-----------|------|--------|
| Backend Go | Unit + Integration + Security | Tests présents, exécution longue |
| Chat Rust | Unit | Compile OK |
| Stream Rust | Unit | Compile OK |
| Frontend | Vitest + Playwright | 42% échec mentionné (user rules) |
| E2E | Playwright (ci.yml) | Intégré au CI |
| Storybook | Visual + Audit | `npm run test:storybook` |
### 3.2 Points de rupture identifiés
| Scénario | Gravité | Détail |
|----------|---------|--------|
| 2FA login flow | **Élevée** | `TwoFactorVerify.tsx` — possible mauvais service |
| Redis indisponible | **Moyenne** | CSRF panic en prod si Redis down (`routes_core.go`) |
| OAuth callback | **Moyenne** | User lookup non implémenté (`database.go:559`) |
| **~80+ `.unwrap()` / `.expect()`** | **Élevée** | Stream server + Chat server — crash en prod |
| E2E auth tests | **Moyenne** | Git status : tests auth échoués (retry1, retry2) |
| Redis indisponible | Moyenne | CSRF désactivé si Redis down (routes_core.go) |
| RabbitMQ down | Moyenne | Mode dégradé, pas d'événements async |
| ClamAV désactivé | Moyenne | Uploads sans scan virus (Boot mode) |
| E2E tests flaky | Moyenne | Git status : nombreux test-results supprimés, retries |
### 3.3 Zones non testées
- OAuth flow complet
- Payment webhook Hyperswitch
- Payment webhook Hyperswitch (tests limités)
- WebRTC streaming
- Multi-tenant isolation / IDOR
- Migration rollback SQL
- Multi-tenant isolation (IDOR systématique)
### 3.4 Risques de production
### 3.4 Flows critiques sécurisés
1. **Crash des services Rust** : ~80+ `.unwrap()` / `.expect()` en production
2. **CSRF inutilisable** : Si Redis tombe, le backend peut panic
3. **2FA cassé** : Flow de login 2FA possiblement incorrect
4. **HLS sans auth** : Segments audio publiquement accessibles
- **Auth** : JWT validation (iss, aud, exp), token version, session validation
- **RBAC** : `RequireAuth()`, `RequireAdmin()`, `RequireOwnershipOrAdmin()`, `RequireContentCreatorRole()`
- **CSRF** : Middleware sur routes protégées (POST/PUT/DELETE)
- **Rate limiting** : Multi-couche (IP, user, endpoint)
---
## 4. Audit de sécurité — OWASP Top 10
## 4. AUDIT DE SÉCURITÉ — OWASP TOP 10
### A01 — Broken Access Control
| Constat | Gravité | Impact | Scénario d'exploitation | Correctif |
|---------|---------|--------|------------------------|-----------|
| HLS endpoints publics | **Élevée** | Accès non autorisé aux flux audio | Connaissance dun `track_id` → téléchargement HLS sans auth | JWT ou validation par signature |
| Routes Education actives | **Moyenne** | Exposition de données fantômes | `GET /api/v1/education/*` publics | Supprimer ou ajouter auth |
| `POST /api/v1/validate` sans auth | **Faible** | Abus de validation | Endpoint accessible sans limite stricte | Rate limiting strict |
| Constat | Gravité | Impact | Correctif |
|---------|---------|--------|-----------|
| Routes internal (`/api/v1/internal/tracks/:id/stream-ready`) | Moyenne | Protégées par `StreamCallbackAuth` (X-Internal-API-Key) | ✅ Correct |
| HLS endpoints | À vérifier | Si publics : accès non autorisé | Vérifier auth sur stream server |
| RBAC | ✅ | RequireOwnershipOrAdmin, RequireAdmin | Correct |
**Positif** : RBAC (`RequireAdmin()`, `RequirePermission()`), routes admin protégées, WebSocket avec JWT.
**Positif** : Toutes les routes protégées utilisent AuthMiddleware. Ownership vérifié sur tracks, users, products.
### A02 — Cryptographic Failures
| Constat | Gravité | Impact | Correctif |
|---------|---------|--------|-----------|
| JWT secret dev dans `.env` | **Moyenne** | Si `.env` fuite en prod | `.env` gitignoré, validation longueur min 32 chars en prod |
| Secrets test hardcodés (chat) | **Moyenne** | Bypass auth si config test en prod | Isoler dans config de test |
**Positif** : Bcrypt cost 12, SHA-256 pour sessions, token versioning, cookies httpOnly, CSRF.
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| JWT_SECRET | ✅ | Requis, min 32 chars, validé au démarrage |
| Bcrypt | ✅ | Cost 12 (password_service.go, auth service) |
| Token versioning | ✅ | Révocation immédiate |
| Cookies | ✅ | HttpOnly, Secure en prod, SameSite |
### A03 — Injection
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| GORM / sqlx paramétrés | ✅ | Requêtes paramétrées |
| `fmt.Sprintf` avec noms de tables (test utils) | **Faible** | Whitelist `validateTableName()` appliquée |
**Positif** : GORM, sqlx paramétrés, validation `go-playground/validator`, Zod frontend.
| GORM | ✅ | Requêtes paramétrées (Where avec ?) |
| Raw() | ✅ | analytics_service.go : paramètre `trackID` via `?` |
| sqlx (Rust) | ✅ | Requêtes paramétrées $1, $2 |
| testutils/db.go | Faible | fmt.Sprintf avec whitelist validateTableName |
### A04 — Insecure Design
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| Download de tracks public | **Moyenne** | Vérifier droits avant download |
| `DISABLE_RATE_LIMIT_FOR_TESTS` | **Moyenne** | CI E2E : `DISABLE_RATE_LIMIT_FOR_TESTS=true` — risque si activé en prod |
**Positif** : Rate limiting multi-couche, account lockout, validation centralisée, upload multi-couche.
| Rate limiting | ✅ | Multi-couche, DISABLE_RATE_LIMIT_FOR_TESTS en E2E |
| Account lockout | ✅ | AuthRateLimitLoginAttempts |
| Input validation | ✅ | go-playground/validator, Zod frontend |
| File upload | ✅ | Magic bytes, MIME, extension, ClamAV optionnel |
### A05 — Security Misconfiguration
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| Bypass flags en dev | **Moyenne** | `BYPASS_CONTENT_CREATOR_ROLE`, `CSRF_DISABLED` — vérifier `APP_ENV=production` |
| Swagger | **Faible** | Désactivé en prod ✅ |
**Positif** : Security headers, config validation, CORS strict, `.env` gitignoré.
| CORS | ✅ | Pas de wildcard en prod, validation stricte |
| LOG_LEVEL=DEBUG | ✅ | Refusé en prod |
| Bypass flags | À surveiller | validateNoBypassFlagsInProduction |
| Swagger | ✅ | Désactivé en prod |
### A06 — Vulnerable & Outdated Components
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| npm audit | **Modéré** | cookie, jose, node-forge, qs, lodash (principalement dev deps) |
| `@lhci/cli`, `newman` | **Dev** | Mettre à jour ou retirer si non utilisés |
| CI : govulncheck, npm audit, cargo audit | ✅ | Présents |
| npm audit | ✅ | 0 vulnérabilités |
| govulncheck | ✅ | Exécuté dans CI (backend) |
| cargo audit | ✅ | Exécuté dans CI (chat, stream) |
| Trivy | ✅ | CD pipeline (images Docker) |
### A07 — Identification & Authentication Failures
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| OAuth user lookup non implémenté | **Moyenne** | Implémenter le lookup |
| 2FA login flow | **Élevée** | Vérifier et corriger le flow |
**Positif** : Password policy, bcrypt cost 12, account lockout, token version, refresh rotation.
| JWT validation | ✅ | ValidateToken, VerifyTokenVersion |
| Session | ✅ | ValidateSession, refresh rotation |
| Password reset | ✅ | Tokens avec expiration |
| 2FA | ✅ | TOTP, backup codes |
### A08 — Software & Data Integrity Failures
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| CI/CD | ✅ | Trivy, SBOM, cosign signing |
| Input validation | ✅ | Zod + validator |
| Webhook signature | ✅ | Hyperswitch webhooks vérifiés |
| CI/CD | ✅ | Trivy, SBOM, cosign |
| Webhook signature | ✅ | Hyperswitch vérifié |
### A09 — Logging & Monitoring Failures
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| Logging structuré | ✅ | Zap (Go), tracing (Rust), Sentry |
| Audit trail | ✅ | `audit_logs` table |
| Secret filtering | ✅ | `WrapLoggerWithSecretFilter()` |
| Logging | ✅ | Zap, tracing, Sentry |
| Secret filtering | ✅ | WrapLoggerWithSecretFilter |
| Audit trail | ✅ | audit_logs table |
### A10 — SSRF
| Constat | Gravité | Correctif |
|---------|---------|-----------|
| OAuth callbacks | **Faible** | Providers connus uniquement |
| Stream server → fichiers | **Faible** | Accès fichiers locaux seulement |
| Pas de fetch user-controlled URL | ✅ | Aucun pattern dangereux |
| OAuth callbacks | Faible | Providers connus uniquement |
| Pas de fetch user-controlled | ✅ | Aucun pattern dangereux |
### Résumé sécurité
| Catégorie OWASP | Gravité max | État |
|-----------------|-------------|------|
| A01 — Access Control | Élevée | ⚠️ HLS public, routes fantômes |
| A02 — Crypto | Moyenne | ⚠️ Secrets test hardcodés |
| A03 — Injection | Faible | ✅ Protégé |
| A04 — Insecure Design | Moyenne | ⚠️ Download public, rate limit bypass |
| A05 — Misconfiguration | Moyenne | ⚠️ Bypass flags |
| A06 — Outdated Components | Modéré | ⚠️ npm vulns (dev deps) |
| A07 — Auth Failures | Élevée | ⚠️ 2FA, OAuth |
| A08 — Integrity | N/A | ✅ CI/CD sécurisé |
| A01 — Access Control | Moyenne | ✅ RBAC correct |
| A02 — Crypto | N/A | ✅ Solide |
| A03 — Injection | Faible | ✅ Paramétré |
| A04 — Insecure Design | N/A | ✅ Rate limit, validation |
| A05 — Misconfiguration | N/A | ✅ Validation config |
| A06 — Outdated | N/A | ✅ À jour |
| A07 — Auth | N/A | ✅ Complet |
| A08 — Integrity | N/A | ✅ CI sécurisé |
| A09 — Logging | N/A | ✅ Complet |
| A10 — SSRF | N/A | ✅ RAS |
---
## 5. Dette technique
## 5. DETTE TECHNIQUE
### 5.1 Dette critique (bloquante)
| Problème | Localisation | Impact | Effort |
|----------|-------------|--------|--------|
| **~80+ `.unwrap()` / `.expect()`** | `veza-stream-server/`, `veza-chat-server/` | Crash des services en production | L |
| **`panic()` si Redis down** | `routes_core.go` | Backend crash si Redis indisponible | S |
| **OAuth user lookup manquant** | `database.go:559` | OAuth non fonctionnel | M |
| **2FA login flow** | `TwoFactorVerify.tsx` | Feature inutilisable | M |
| Aucune identifiée | - | - | - |
### 5.2 Dette structurante
| Problème | Localisation | Impact | Effort |
|----------|-------------|--------|--------|
| Dual-pattern views/pages | `components/views/` vs `features/*/pages/` | Confusion architecturale | L |
| ~137 fichiers .md à la racine | Racine | Pollution, navigabilité | M |
| 25+ fichiers .json à la racine | Racine | TODOs, rapports accumulés | S |
| Code mort : Education, Studio, Gamification | Backend + Frontend | Code fantôme | M |
| `pages/` directory legacy | `apps/web/src/pages/` | Doublon | M |
| Go version mismatch | go.mod vs CI | Build incohérent | S |
| 60+ TODOs/FIXMEs backend | internal/ | Code inachevé documenté | M |
| Dual-pattern views/pages | components/ vs features/ | Confusion | L |
| Config Go monolithique | config.go ~680 lignes | Maintenabilité | M |
| Features fantômes | Studio, Education, Gamification | Code mort | M |
| webhookApi.ts supprimé | webhooks/ | webhookService utilisé, cohérent | N/A |
### 5.3 Dette cosmétique
| Problème | Localisation | Impact | Effort |
|----------|-------------|--------|--------|
| 72+ TODOs/FIXMEs | Tous les services | Code inachevé documenté | Variable |
| Coverage reports | `*.out` | Non gitignorés | S |
| Test results committés | `e2e-results.json`, `test-results/` | Artefacts de build | S |
| fmt.Printf debug | routes_core.go:89-99 | Logs de debug en prod | S |
| Fichiers test-results, playwright-report | apps/web/ | Artefacts committés | S |
| Documentation dispersée | docs/ | 54+ fichiers | M |
### 5.4 Métriques
| Indicateur | Valeur | Verdict |
|-----------|--------|---------|
| TODOs backend | 60+ | ⚠️ |
| Chat/Stream compile | OK | ✅ |
| npm audit | 0 vulnérabilités | ✅ |
---
## 6. Qualité architecturale
## 6. QUALITÉ ARCHITECTURALE
### 6.1 Score d'architecture : 6/10
### 6.1 Score d'architecture : 6.5/10
**Positif** : Séparation des services, communication HTTP/WebSocket/RabbitMQ, `veza-common`, feature-based frontend.
**Positif** :
- Séparation claire des services
- Feature-based frontend
- Core/Handlers/Services backend
- OpenAPI spec, types générés
**Négatif** : Dual-pattern views/pages, config Go monolithique, features fantômes, 3 points dentrée serveur.
**Négatif** :
- Dual-pattern views/pages
- Config Go dense
- Features fantômes
### 6.2 Score de maintenabilité : 5/10
### 6.2 Score de maintenabilité : 5.5/10
**Positif** : Tests unitaires, Storybook, TypeScript strict, Zod, OpenAPI, i18n.
**Positif** :
- Tests unitaires
- Storybook
- TypeScript strict
- Zod + validator
**Négatif** : 470K+ LOC, ~137 fichiers .md, documentation dispersée, onboarding difficile.
**Négatif** :
- 60+ TODOs
- Documentation pléthorique
- Onboarding complexe
### 6.3 Score de sécurité : 6/10
### 6.3 Score de sécurité : 7/10
**Positif** : Bcrypt cost 12, JWT rotation, CSRF, rate limiting, security headers, audit trail.
**Positif** :
- JWT, bcrypt, CSRF, RBAC
- Rate limiting, account lockout
- govulncheck, npm audit, Trivy
- Secret filtering
**Négatif** : Vulnérabilités npm, HLS public, `.unwrap()` en Rust, 2FA cassé, bypass flags.
**Négatif** :
- fmt.Printf debug à retirer
- Vérifier HLS auth
### 6.4 Score de scalabilité : 7/10
**Positif** : Microservices, K8s ready, PostgreSQL read replicas, Redis, RabbitMQ.
**Négatif** : Pas de sharding, pas de circuit breaker, pas de service mesh.
**Positif** :
- Microservices
- K8s ready
- Circuit breakers
- Read replicas support
---
## 7. Infra & DevOps
## 7. INFRA & DEVOPS
### 7.1 Docker
| Aspect | État | Détail |
|--------|------|--------|
| Multi-stage builds | ✅ | Tous les Dockerfiles |
| Non-root user | ✅ | UID 1001 |
| Health checks | ✅ | Configurés |
| Image minimale | ✅ | Alpine Linux |
| Secrets dans le build | ✅ | Pas de secrets dans les images |
| Aspect | État |
|--------|------|
| Multi-stage builds | ✅ |
| Non-root user | ✅ |
| Health checks | ✅ |
| Secrets | ✅ Pas dans les images |
### 7.2 CI/CD
| Aspect | État | Détail |
|--------|------|--------|
| Backend Go | ✅ | Vet, lint, test, build, govulncheck |
| Rust services | ✅ | cargo audit, lint, build, test |
| Frontend | ✅ | Lint, typecheck, test, build |
| E2E | ✅ | Postgres, Redis, RabbitMQ, migrations, Playwright |
| CD | ✅ | Trivy, SBOM, cosign, push registry |
| Playwright workflow | ❌ Supprimé | E2E intégrés dans ci.yml |
| Workflow | Contenu |
|----------|---------|
| ci.yml | Backend (govulncheck, vet, lint, test, build), Rust (cargo audit, lint, build, test), Frontend (npm audit, generate-types, lint, typecheck, test, build), E2E (Playwright) |
| cd.yml | Build images, Trivy scan, SBOM, push registry, cosign, K8s deploy, smoke tests |
### 7.3 Production
### 7.3 Points d'attention
- **docker-compose.prod.yml** : Canonique
- **HAProxy** : HTTP→HTTPS, routing vers backend, chat, stream, web
- **Secrets** : `DB_PASS`, `RABBITMQ_PASS`, `JWT_SECRET` requis
- **playwright.yml supprimé** : E2E intégrés dans ci.yml
- **RABBITMQ_URL E2E** : `amqp://...@localhost:15672/` — port 15672 est management, 5672 pour AMQP. Vérifier.
- **DISABLE_RATE_LIMIT_FOR_TESTS** : Utilisé en E2E, acceptable
---
## 8. Risques business
## 8. RISQUES BUSINESS
### 8.1 CTO
### 8.1 Point de vue CTO
- **Peut-on lancer en prod ?** Non. Corriger `.unwrap()` Rust, 2FA, HLS auth, Redis panic.
- **Peut-on maintenir ?** Oui, avec effort. Dette structurelle et documentation à nettoyer.
- **Faut-il refactorer ?** Oui, ciblé. Dual-pattern views, config Go, code mort.
**Forces** : Stack moderne, tests, CI/CD, sécurité solide
**Faiblesses** : Complexité (4 langages), onboarding long, TODOs accumulés
**Recommandation** : Stabiliser, nettoyer les TODOs prioritaires
### 8.2 Investisseur
### 8.2 Point de vue Investisseur
- **Peut-on vendre le produit ?** Le produit a de la valeur fonctionnelle. Stabilisation requise avant due diligence.
- **Risques de réputation ?** Vulnérabilités npm (dev deps), HLS public — à corriger avant communication publique.
**Forces** : Produit riche, architecture sérieuse, sécurité au-dessus de la moyenne
**Faiblesses** : Complexité opérationnelle, coût de maintenance
**Recommandation** : Viable après stabilisation
### 8.3 Acquéreur
### 8.3 Réponses directes
- **Faut-il réécrire ?** Non. Refactoring ciblé suffisant.
- **Dette technique ?** Élevée mais gérable. Plan de remédiation clair.
| Question | Réponse |
|----------|---------|
| **Peut-on lancer en prod ?** | **Oui** en mode Boot (Backend + Web). Complet : réactiver services un par un. |
| **Peut-on vendre ?** | **Oui**, avec stabilisation pour due diligence. |
| **Peut-on maintenir ?** | **Oui**, 2-3 devs seniors polyglots. |
| **Faut-il refactorer ?** | **Oui**, ciblé : dual-patterns, config, code mort. |
| **Faut-il réécrire ?** | **Non**. |
---
## 9. Plan d'action priorisé
## 9. PLAN D'ACTION PRIORISÉ
### Phase 1 — Urgent (sécurité & stabilité)
### Phase 1 — URGENT (1-2 semaines)
| Action | Effort | Priorité |
|--------|--------|----------|
| Protéger les endpoints HLS (JWT ou signature) | M | P0 |
| Corriger le flow 2FA login | S | P0 |
| Fallback gracieux si Redis down (CSRF) | S | P0 |
| Remplacer `.unwrap()` / `.expect()` critiques en Rust | L | P0 |
| Aligner Go version (go.mod / CI) | S | P1 |
| # | Action | Effort | Fichier(s) |
|---|--------|--------|-----------|
| 1.1 | Retirer fmt.Printf debug | S | routes_core.go:89-99 |
| 1.2 | Vérifier auth HLS sur stream server | M | veza-stream-server |
| 1.3 | Corriger RABBITMQ_URL E2E (port 5672) | S | ci.yml |
| 1.4 | Stabiliser tests frontend (42% échec) | M | apps/web |
### Phase 2 — Stabilisation
### Phase 2 — STABILISATION (3-4 semaines)
| Action | Effort | Priorité |
|--------|--------|----------|
| Implémenter OAuth user lookup | M | P1 |
| Supprimer les routes Education fantômes | S | P1 |
| Mettre à jour npm dev deps vulnérables | S | P1 |
| Protéger les bypass flags en prod | S | P1 |
| Corriger les tests E2E auth | M | P1 |
| # | Action | Effort |
|---|--------|--------|
| 2.1 | Triage des 60+ TODOs backend | M |
| 2.2 | Unifier dual-pattern views/pages | L |
| 2.3 | Supprimer features fantômes (Studio, Education, Gamification) | M |
| 2.4 | Découper config.go | M |
| 2.5 | Nettoyer artefacts (test-results, playwright-report) du repo | S |
### Phase 3 — Amélioration & refonte
### Phase 3 — AMÉLIORATION (6-12 semaines)
| Action | Effort | Priorité |
|--------|--------|----------|
| Unifier dual-pattern views/pages | L | P2 |
| Nettoyer code mort (Education, Studio, Gamification) | M | P2 |
| Réorganiser documentation (~137 .md) | M | P2 |
| Réduire .unwrap() restants en Rust | L | P2 |
| Découper config Go | M | P2 |
| # | Action | Effort |
|---|--------|--------|
| 3.1 | Documentation architecture (C4, ADR) | M |
| 3.2 | GETTING_STARTED.md clair | S |
| 3.3 | Tests IDOR systématiques | M |
| 3.4 | Réactiver RabbitMQ, ClamAV, Chat, Stream en prod | L |
---
## Conclusion stratégique
## CONCLUSION STRATÉGIQUE
Le monorepo Veza est **techniquement viable** avec une architecture microservices cohérente et des bases de sécurité solides. Les principaux blocages sont :
### Ce qui est bien fait
1. **Sécurité** : HLS public, 2FA cassé, bypass flags, vulnérabilités npm (dev deps), `.unwrap()` en Rust.
2. **Stabilité** : Panic Redis, crash des services Rust.
3. **Dette** : Dual-pattern views, code mort, pollution documentaire.
1. **Sécurité** : JWT, bcrypt, CSRF, RBAC, rate limiting, audit trail
2. **Architecture** : Microservices, séparation claire
3. **CI/CD** : govulncheck, npm audit, cargo audit, Trivy, cosign
4. **Stack** : Moderne, à jour
5. **Chat/Stream** : Compilent correctement
**Recommandation** : Exécuter la Phase 1 (12 semaines) avant toute mise en production. Les Phases 2 et 3 peuvent être planifiées sur 24 semaines supplémentaires selon les priorités produit.
### Ce qui pose problème
1. **TODOs** : 60+ dans le backend
2. **Tests frontend** : 42% échec à investiguer
3. **Mode Boot** : Services désactivés pour démarrage minimal
4. **Documentation** : Dispersée
### Verdict final
Le projet Veza possède une **base technique solide**. L'architecture est saine, la sécurité est prise au sérieux. Les services Rust (Chat, Stream) compilent. Le backend Go est fonctionnel. Le frontend nécessite une investigation sur les tests en échec.
**Recommandation** : Déploiement possible en mode Boot. Plan de remédiation Phase 1 pour production complète.
---
*Rapport généré le 16 février 2026. Fichiers critiques cités : `veza-backend-api/internal/middleware/auth.go`, `veza-backend-api/internal/api/routes_core.go`, `apps/web/src/config/env.ts`, `config/haproxy/haproxy.cfg`, `docker-compose.prod.yml`, `veza-chat-server/Cargo.toml`, `veza-stream-server/Cargo.toml`.*
*Rapport généré le 16 février 2026*
*Périmètre : Monorepo Veza, analyse statique et dynamique*

2
go.work
View file

@ -1,3 +1,3 @@
go 1.23.8
go 1.24.0
use ./veza-backend-api

1
go.work.sum
View file

@ -78,6 +78,7 @@ go.opencensus.io v0.24.0/go.mod h1:vNK8G9p7aAivkbmorf4v+7Hgx+Zs0yY+0fOtgBfjQKo=
go.opentelemetry.io/contrib/instrumentation/google.golang.org/grpc/otelgrpc v0.45.0/go.mod h1:vsh3ySueQCiKPxFLvjWC4Z135gIa34TQ/NSqkDTZYUM=
go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracegrpc v1.19.0/go.mod h1:0+KuTDyKL4gjKCF75pHOX4wuzYDUZYfAQdSu43o+Z2I=
golang.org/x/telemetry v0.0.0-20240521205824-bda55230c457/go.mod h1:pRgIJT+bRLFKnoM1ldnzKoxTIn14Yxz928LQRYYgIN0=
golang.org/x/telemetry v0.0.0-20260109210033-bd525da824e2/go.mod h1:b7fPSJ0pKZ3ccUh8gnTONJxhn3c/PS6tyzQvyqw4iA8=
google.golang.org/appengine v1.6.7/go.mod h1:8WjMMxjGQR8xUklV/ARdw2HLXBOI7O7uCIDZVag1xfc=
google.golang.org/genproto v0.0.0-20230920204549-e6e6cdab5c13/go.mod h1:CCviP9RmpZ1mxVr8MUjCnSiY09IbAXZxhLE6EhHIdPU=
gopkg.in/inf.v0 v0.9.1/go.mod h1:cWUDdTG/fYaXco+Dcufb5Vnc6Gp2YChqWtbxRZE0mXw=

38
k8s/network-policies/README.md Normal file
View file

@ -0,0 +1,38 @@
# Network Policies
Network policies restrict traffic between pods for defense in depth.
## Dependencies
| Service | Ingress From | Egress To |
|---------------|-------------------|------------------------------|
| backend-api | ingress-nginx | PostgreSQL (5432), Redis (6379), DNS |
| frontend | ingress-nginx | - |
| chat-server | ingress-nginx | PostgreSQL (5432), Redis (6379), DNS |
| stream-server | ingress-nginx | Redis, storage |
## Usage
1. Apply default deny first:
```bash
kubectl apply -f k8s/network-policies/default-deny.yaml
```
2. Apply allow policies for each component:
```bash
kubectl apply -f k8s/network-policies/backend-api-allow.yaml
kubectl apply -f k8s/network-policies/frontend-allow.yaml
kubectl apply -f k8s/network-policies/chat-server-allow.yaml
```
## Ingress Controller
Policies reference `namespaceSelector.matchLabels.name: ingress-nginx`. Ensure your ingress controller namespace has this label:
```bash
kubectl label namespace ingress-nginx name=ingress-nginx
```
## External Services
If PostgreSQL or Redis run outside the cluster, the egress `ipBlock.cidr: 0.0.0.0/0` allows connections. For stricter policies, replace with specific CIDRs.

45
k8s/network-policies/backend-api-allow.yaml Normal file
View file

@ -0,0 +1,45 @@
# Backend API: allow ingress from ingress controller and in-namespace, egress to PostgreSQL, Redis, DNS
# Dependencies: PostgreSQL (5432), Redis (6379), DNS (kube-system)
# If PostgreSQL/Redis are external, egress will need ipBlock or adjust namespaceSelector
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: backend-api-allow
namespace: veza-production
spec:
podSelector:
matchLabels:
app: veza-backend-api
policyTypes:
- Ingress
- Egress
ingress:
- from:
- namespaceSelector:
matchLabels:
name: ingress-nginx
ports:
- protocol: TCP
port: 8080
- from:
- podSelector: {}
ports:
- protocol: TCP
port: 8080
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
ports:
- protocol: TCP
port: 5432
- protocol: TCP
port: 6379
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
ports:
- protocol: UDP
port: 53

44
k8s/network-policies/chat-server-allow.yaml Normal file
View file

@ -0,0 +1,44 @@
# Chat Server: allow ingress from ingress controller, egress to Redis, PostgreSQL, DNS
# WebSocket connections; depends on Redis for pub/sub
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: chat-server-allow
namespace: veza-production
spec:
podSelector:
matchLabels:
app: veza-chat-server
policyTypes:
- Ingress
- Egress
ingress:
- from:
- namespaceSelector:
matchLabels:
name: ingress-nginx
ports:
- protocol: TCP
port: 8081
- from:
- podSelector: {}
ports:
- protocol: TCP
port: 8081
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
ports:
- protocol: TCP
port: 5432
- protocol: TCP
port: 6379
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
ports:
- protocol: UDP
port: 53

23
k8s/network-policies/default-deny.yaml Normal file
View file

@ -0,0 +1,23 @@
# Default deny all ingress and egress
# Apply this first; then apply allow policies for each component.
# See README.md for dependency documentation.
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-ingress
namespace: veza-production
spec:
podSelector: {}
policyTypes:
- Ingress
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-egress
namespace: veza-production
spec:
podSelector: {}
policyTypes:
- Egress

22
k8s/network-policies/frontend-allow.yaml Normal file
View file

@ -0,0 +1,22 @@
# Frontend: allow ingress from ingress controller only
# Static assets; no egress required for serving
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: frontend-allow
namespace: veza-production
spec:
podSelector:
matchLabels:
app: veza-frontend
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector:
matchLabels:
name: ingress-nginx
ports:
- protocol: TCP
port: 80

112
loadtests/stream/hls.js Normal file
View file

@ -0,0 +1,112 @@
/**
* Load test: HLS streaming - master playlist and segments
* Usage: k6 run loadtests/stream/hls.js
* Requires: Stream server running, AUTH_TOKEN (JWT), TRACK_ID (UUID of track with HLS)
*
* Env: STREAM_ORIGIN, AUTH_TOKEN, TRACK_ID
* Example: AUTH_TOKEN=xxx TRACK_ID=550e8400-e29b-41d4-a716-446655440000 k6 run loadtests/stream/hls.js
*/
import http from 'k6/http';
import { check, sleep } from 'k6';
import { Rate, Trend } from 'k6/metrics';
const errorRate = new Rate('hls_errors');
const manifestDuration = new Trend('hls_manifest_duration');
const segmentDuration = new Trend('hls_segment_duration');
const STREAM_ORIGIN = __ENV.STREAM_ORIGIN || 'http://localhost:8082';
const AUTH_TOKEN = __ENV.AUTH_TOKEN || '';
const TRACK_ID = __ENV.TRACK_ID || '';
export const options = {
scenarios: {
hls_streaming: {
executor: 'constant-arrival-rate',
rate: 5,
timeUnit: '1s',
duration: '2m',
preAllocatedVUs: 10,
maxVUs: 50,
},
},
thresholds: {
http_req_duration: ['p(95)<2000', 'p(99)<5000'],
hls_errors: ['rate<0.01'],
hls_manifest_duration: ['p(95)<500', 'p(99)<1000'],
hls_segment_duration: ['p(95)<2000', 'p(99)<5000'],
},
};
function getHeaders() {
const h = { Accept: 'application/vnd.apple.mpegurl,*/*' };
if (AUTH_TOKEN) {
h['Authorization'] = `Bearer ${AUTH_TOKEN}`;
}
return h;
}
export function setup() {
if (!TRACK_ID) {
console.warn('TRACK_ID not set - HLS tests will 404. Set TRACK_ID and AUTH_TOKEN for real streaming load.');
}
if (!AUTH_TOKEN) {
console.warn('AUTH_TOKEN not set - HLS routes require JWT. Requests may return 401.');
}
return { trackId: TRACK_ID || '00000000-0000-0000-0000-000000000000' };
}
export default function (data) {
const { trackId } = data;
if (!trackId || trackId === '00000000-0000-0000-0000-000000000000') {
// Still hit the endpoint to exercise the auth path
const url = `${STREAM_ORIGIN}/hls/${trackId}/master.m3u8`;
const res = http.get(url, { headers: getHeaders() });
errorRate.add(res.status !== 200 && res.status !== 404);
sleep(1);
return;
}
// 1. Fetch master playlist
const manifestUrl = `${STREAM_ORIGIN}/hls/${trackId}/master.m3u8`;
const manifestStart = Date.now();
const manifestRes = http.get(manifestUrl, { headers: getHeaders() });
manifestDuration.add(Date.now() - manifestStart);
const manifestOk = check(manifestRes, {
'master.m3u8 returns 200': (r) => r.status === 200,
});
errorRate.add(!manifestOk);
if (!manifestOk) {
sleep(1);
return;
}
// 2. Parse playlist for segment URLs (simplified: extract quality playlists or segments)
const body = manifestRes.body;
const qualityMatch = body.match(/\/hls\/[^/]+\/([^/\s]+)\/playlist\.m3u8/);
const quality = qualityMatch ? qualityMatch[1] : 'high';
sleep(0.2);
// 3. Fetch quality playlist
const qualityUrl = `${STREAM_ORIGIN}/hls/${trackId}/${quality}/playlist.m3u8`;
const qualityRes = http.get(qualityUrl, { headers: getHeaders() });
errorRate.add(qualityRes.status !== 200);
if (qualityRes.status !== 200) {
sleep(1);
return;
}
// 4. Fetch first segment (if present)
const segmentMatch = qualityRes.body.match(/(segment_\d+\.ts)/);
if (segmentMatch) {
const segmentName = segmentMatch[1];
const segmentUrl = `${STREAM_ORIGIN}/hls/${trackId}/${quality}/${segmentName}`;
const segmentStart = Date.now();
const segmentRes = http.get(segmentUrl, { headers: getHeaders() });
segmentDuration.add(Date.now() - segmentStart);
errorRate.add(segmentRes.status !== 200);
}
sleep(1);
}

61
loadtests/stream/ramp.js Normal file
View file

@ -0,0 +1,61 @@
/**
* Load test: Progressive ramp - stream server HLS
* Ramp: 10 -> 50 -> 100 -> 200 VUs to find saturation point
* Usage: k6 run loadtests/stream/ramp.js
* Requires: STREAM_ORIGIN, AUTH_TOKEN, TRACK_ID (see hls.js)
*/
import http from 'k6/http';
import { check, sleep } from 'k6';
import { Rate, Trend } from 'k6/metrics';
const errorRate = new Rate('ramp_errors');
const manifestDuration = new Trend('ramp_manifest_duration');
const STREAM_ORIGIN = __ENV.STREAM_ORIGIN || 'http://localhost:8082';
const AUTH_TOKEN = __ENV.AUTH_TOKEN || '';
const TRACK_ID = __ENV.TRACK_ID || '';
export const options = {
scenarios: {
ramp: {
executor: 'ramping-vus',
startVUs: 0,
stages: [
{ duration: '1m', target: 10 },
{ duration: '2m', target: 50 },
{ duration: '2m', target: 100 },
{ duration: '2m', target: 200 },
{ duration: '1m', target: 0 },
],
gracefulRampDown: '30s',
gracefulStop: '30s',
},
},
thresholds: {
http_req_duration: ['p(95)<2000', 'p(99)<5000'],
ramp_errors: ['rate<0.05'],
ramp_manifest_duration: ['p(95)<1000', 'p(99)<3000'],
},
};
function getHeaders() {
const h = { Accept: 'application/vnd.apple.mpegurl,*/*' };
if (AUTH_TOKEN) {
h['Authorization'] = `Bearer ${AUTH_TOKEN}`;
}
return h;
}
export function setup() {
return { trackId: TRACK_ID || '00000000-0000-0000-0000-000000000000' };
}
export default function (data) {
const { trackId } = data;
const url = `${STREAM_ORIGIN}/hls/${trackId}/master.m3u8`;
const start = Date.now();
const res = http.get(url, { headers: getHeaders() });
manifestDuration.add(Date.now() - start);
errorRate.add(res.status !== 200 && res.status !== 404);
sleep(0.5);
}

40
scripts/validate-light.sh Executable file
View file

@ -0,0 +1,40 @@
#!/bin/bash
# Validation légère pour machines peu puissantes
# Évite go test ./... et playwright qui peuvent saturer la RAM/CPU
set -e
ROOT="$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)"
cd "$ROOT"
echo "=== Validation légère v0.101 ==="
echo "[1/5] Backend: go build..."
cd veza-backend-api && go build ./... && cd ..
echo " OK"
echo "[2/5] Frontend: npx tsc --noEmit..."
cd apps/web && npx tsc --noEmit && cd ../..
echo " OK"
echo "[3/5] Frontend: npm run build..."
cd apps/web && npm run build && cd ../..
echo " OK"
echo "[4/5] Frontend: tests par groupes (évite saturation)..."
cd apps/web
npm run test:auth
npm run test:hooks
npm run test:services
npm run test:misc
cd ../..
echo " OK"
echo "[5/5] Rust: cargo build..."
cd veza-chat-server && cargo build --release 2>/dev/null && cd ..
cd veza-stream-server && cargo build --release 2>/dev/null && cd ..
echo " OK"
echo ""
echo "=== Validation légère terminée ==="
echo "Pour une validation complète (CI) : go test, npm test, playwright."
echo "Sur machine limitée : go test et playwright peuvent être lancés séparément."

2
veza-backend-api/Dockerfile.production
View file

@ -30,7 +30,7 @@ RUN CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build \
./cmd/api/main.go
# Runtime stage - minimal alpine
FROM alpine:latest
FROM alpine:3.21
# Install only runtime dependencies
RUN apk --no-cache add ca-certificates tzdata && \

1017
veza-backend-api/docs/archive/AUDIT_BACKEND_GO.md Normal file
View file

File diff suppressed because it is too large Load diff

201
veza-backend-api/docs/archive/AUDIT_CONFIG.md Normal file
View file

@ -0,0 +1,201 @@
# 🔍 AUDIT DE SÉCURITÉ - Configuration Backend Go
**Date**: 2025-01-XX
**Fichiers analysés**: `internal/config/config.go`, `internal/api/router.go`, `internal/middleware/cors.go`
---
## 1. STRUCTURE ACTUELLE
### 1.1. Représentation de la configuration
- **Struct principale**: `config.Config` (ligne 24-79 de `config.go`)
- Mélange de services initialisés (Database, Redis, Services, Middlewares) et de valeurs de configuration (AppPort, JWTSecret, CORSOrigins, etc.)
- Pattern: Singleton créé via `NewConfig()` qui initialise tout (DB, Redis, Services, Middlewares)
- **Initialisation**:
- `NewConfig()` (ligne 82) : fonction globale qui charge tout
- `Load()` (ligne 384) : fonction alternative qui charge seulement `EnvConfig` (struct plus simple)
- **Problème**: Deux chemins de chargement différents, confusion possible
- **Variables globales**:
- Pas de variables globales explicites, mais `NewConfig()` crée un singleton qui est passé partout
- Pattern acceptable mais peut être amélioré
### 1.2. Sources de vérité
**Ordre de priorité actuel**:
1. Variables d'environnement système (priorité maximale)
2. Fichiers `.env.{env}` (ex: `.env.development`)
3. Fichiers `.env` (fallback)
4. Valeurs par défaut hardcodées dans le code
**Variables critiques chargées**:
- `JWT_SECRET`: ✅ **REQUIS** (ligne 117) - `getEnvRequired()` → panic si absent
- `DATABASE_URL`: ✅ **REQUIS** (ligne 124) - `getEnvRequired()` → panic si absent
- `CORS_ALLOWED_ORIGINS`: ⚠️ **DÉFAUT DANGEREUX** (ligne 101) - `getEnvStringSlice(..., []string{"*"})` → **wildcard par défaut**
- `REDIS_URL`: ⚠️ Valeur par défaut `"redis://localhost:6379"` (ligne 122)
- `APP_PORT`: Valeur par défaut `8080` (ligne 113)
- `CHAT_JWT_SECRET`: Fallback vers `JWT_SECRET` si non défini (ligne 121)
**Détection d'environnement**:
- `DetectEnvironment()` (ligne 28 de `env_detection.go`): Priorité APP_ENV > NODE_ENV > GO_ENV > hostname > development
- **Problème**: L'environnement est détecté mais **pas utilisé pour différencier les comportements** (CORS, validation, etc.)
### 1.3. Points de risque sécurité identifiés
#### 🔴 CRITIQUE - CORS Wildcard par défaut
- **Ligne 101 de `config.go`**: `corsOrigins := getEnvStringSlice("CORS_ALLOWED_ORIGINS", []string{"*"})`
- **Impact**: Si `CORS_ALLOWED_ORIGINS` n'est pas défini, **toutes les origines sont autorisées**
- **Risque**: En production, si la variable est oubliée, l'API accepte les requêtes de n'importe quel domaine
- **Ligne 62 de `router.go`**: Fallback vers `CORSDefault()` si `CORSOrigins` est vide → **double risque**
#### 🟠 MOYEN - Pas de validation CORS selon environnement
- **Ligne 483-544 de `config.go`**: `Validate()` ne vérifie **pas** que CORS n'est pas `"*"` en production
- **Impact**: Aucune protection contre le wildcard en prod
- **Risque**: Configuration dangereuse peut passer inaperçue
#### 🟠 MOYEN - Valeurs par défaut trop permissives
- `REDIS_URL`: Valeur par défaut hardcodée (acceptable en dev, dangereux si oublié en prod)
- `APP_PORT`: Valeur par défaut (acceptable)
- **Impact**: En prod, si variables manquantes, l'app démarre avec des valeurs dev
#### 🟡 FAIBLE - Pas de distinction dev/test/prod
- L'environnement est détecté mais **pas utilisé** pour:
- Changer les defaults CORS
- Valider différemment selon l'env
- Refuser de démarrer si config critique manque en prod
#### 🟡 FAIBLE - Debug logs potentiels en prod
- Ligne 417-420 de `config.go`: `fmt.Printf` dans `getEnv()` → **logs de debug en production**
- **Impact**: Fuite d'information sur les valeurs de config (même si masquées ailleurs)
### 1.4. Configuration CORS
**Fichier**: `internal/middleware/cors.go`
- **Fonction `CORS(allowedOrigins []string)`**:
- Accepte une liste d'origines
- Si `"*"` est dans la liste → **toutes les origines autorisées** (ligne 36)
- Headers autorisés: `Authorization, Content-Type` (ligne 20)
- Méthodes autorisées: `GET, POST, PUT, DELETE, OPTIONS` (ligne 19)
- `Access-Control-Allow-Credentials: true` (ligne 21)
**Fichier**: `internal/api/router.go`
- **Ligne 59-63**:
```go
if r.config != nil && len(r.config.CORSOrigins) > 0 {
router.Use(middleware.CORS(r.config.CORSOrigins))
} else {
router.Use(middleware.CORSDefault()) // ← DANGER: wildcard par défaut
}
```
**Problèmes identifiés**:
1. ✅ Le middleware CORS est bien configuré via la config
2. ❌ **Fallback vers `CORSDefault()` si liste vide** → wildcard
3. ❌ **Pas de validation que `"*"` n'est pas utilisé en prod**
4. ❌ **Pas de distinction dev/prod** pour les origines par défaut
---
## 2. DESIGN CIBLE PROPOSÉ
### 2.1. Profils d'environnement
**Environnements supportés**:
- `development`: Logs verbeux, CORS permissif (localhost uniquement)
- `test`: Config adaptée aux tests (DB test, pas de side-effects)
- `production`: **Strict** - aucune valeur par défaut dangereuse, validation stricte
### 2.2. Comportements attendus
#### Development
- CORS par défaut: `["http://localhost:3000", "http://127.0.0.1:3000"]` si `CORS_ALLOWED_ORIGINS` non défini
- Logs: DEBUG/INFO
- Validation: Permissive (valeurs par défaut acceptées)
#### Test
- CORS: Liste vide ou configurée explicitement
- DB: URL de test requise
- Validation: Stricte mais adaptée aux tests
#### Production
- **CORS**: `CORS_ALLOWED_ORIGINS` **REQUIS** et **non vide**
- **CORS**: **Interdiction explicite de `"*"`** en prod
- **Validation**: **Erreur fatale** si variables critiques manquantes
- **Logs**: INFO/WARN/ERROR uniquement (pas de DEBUG)
### 2.3. Chargement de la config
**Fonction unique**: `LoadConfigFromEnv() (*AppConfig, error)`
- Charge depuis variables d'environnement uniquement
- Valide selon l'environnement détecté
- Retourne erreur si config invalide en prod
**Struct simplifiée** (pour la partie config pure):
```go
type AppConfig struct {
Env string // development, test, production
HttpPort string
DatabaseURL string
RedisURL string
JwtSecret string
ChatJWTSecret string
CorsAllowedOrigins []string
// ... autres champs
}
```
### 2.4. Validation renforcée
**Nouvelle fonction**: `ValidateForEnvironment(cfg *AppConfig) error`
- En **production**:
- `CORS_ALLOWED_ORIGINS` doit être défini et non vide
- `CORS_ALLOWED_ORIGINS` ne doit **pas** contenir `"*"`
- Toutes les variables critiques doivent être présentes
- En **development**:
- Valeurs par défaut acceptées
- Warning si config incomplète mais démarrage autorisé
---
## 3. PLAN D'IMPLÉMENTATION
### Étape 1: Refactor `config.go`
- Ajouter champ `Env` dans `Config`
- Modifier `NewConfig()` pour utiliser l'environnement détecté
- Créer `validateForEnvironment()` avec règles strictes selon env
- Modifier defaults CORS selon environnement
### Étape 2: Mettre à jour `router.go`
- Supprimer fallback `CORSDefault()`
- Utiliser strictement `config.CorsAllowedOrigins`
- Ajouter validation au démarrage
### Étape 3: Tests
- Test dev avec defaults
- Test prod avec CORS manquant → erreur
- Test prod avec CORS="*" → erreur
- Test prod valide
### Étape 4: Documentation
- Créer `docs/BACKEND_CONFIG.md`
- Lister variables d'environnement
- Expliquer différences dev/prod
---
## 4. RÉSUMÉ DES RISQUES
| Risque | Sévérité | Fichier | Ligne | Action requise |
|--------|----------|---------|-------|----------------|
| CORS wildcard par défaut | 🔴 CRITIQUE | config.go | 101 | Valeur par défaut selon env |
| Fallback CORSDefault() | 🔴 CRITIQUE | router.go | 62 | Supprimer, erreur si vide |
| Pas de validation CORS prod | 🟠 MOYEN | config.go | 483 | Ajouter validation selon env |
| Debug logs en prod | 🟡 FAIBLE | config.go | 417 | Supprimer fmt.Printf |
| Pas de distinction dev/prod | 🟡 FAIBLE | config.go | 82 | Utiliser env détecté |
---
**Prochaines étapes**: Implémentation des corrections identifiées.

1185
veza-backend-api/docs/archive/AUDIT_EXHAUSTIF_VEZA_BACKEND.md Normal file
View file

File diff suppressed because it is too large Load diff

1296
veza-backend-api/docs/archive/AUDIT_MODULE_VEZA_BACKEND_API.md Normal file
View file

File diff suppressed because it is too large Load diff

1191
veza-backend-api/docs/archive/AUDIT_MODULE_VEZA_BACKEND_API_2025-12-15_EXHAUSTIF.md Normal file
View file

File diff suppressed because it is too large Load diff

1140
veza-backend-api/docs/archive/AUDIT_MODULE_VEZA_BACKEND_API_EXHAUSTIF.md Normal file
View file

File diff suppressed because it is too large Load diff

1332
veza-backend-api/docs/archive/AUDIT_MODULE_VEZA_BACKEND_API_ULTRA_EXHAUSTIF.md Normal file
View file

File diff suppressed because it is too large Load diff

315
veza-backend-api/docs/archive/AUDIT_POST_REMEDIATION.md Normal file
View file

@ -0,0 +1,315 @@
# 🔍 AUDIT TECHNIQUE POST-REMÉDIATION — VEZA BACKEND API
**Date**: 2025-12-12
**Contexte**: Module remédié (P0/P1 traités) — Identification des blocages résiduels pour production
---
## A. ÉTAT GLOBAL DU MODULE
### Verdict
**Module prêt avec réserves** — Les correctifs P0/P1 ont considérablement amélioré la stabilité et la sécurité. Cependant, **3 problèmes P1-résiduels** et plusieurs **P2-stability** doivent être traités avant une mise en production confiante.
**Points forts** :
- ✅ Sécurité critique (CORS, ownership, validation) : **SOLIDE**
- ✅ Robustesse de base (timeout, readiness) : **ACCEPTABLE**
- ✅ Tests critiques (ownership, validation) : **COUVERTS**
**Points faibles** :
- ⚠️ **Incohérences architecturales** : Patterns d'erreur divergents
- ⚠️ **Résilience externe** : Pas de retry/circuit breaker sur dépendances
- ⚠️ **Observabilité limitée** : Métriques DB pool non exposées
---
## B. PROBLÈMES RESTANTS
### 🔴 P1-RESIDUAL (Bloquant production)
#### P1-RES-001 : Incohérence patterns de réponse d'erreur
**Description** :
Deux patterns d'erreur coexistent sans standardisation :
- `TrackHandler` utilise `response.BadRequest()`, `response.NotFound()`, `response.Success()` (package `internal/response`)
- `ProfileHandler` utilise `RespondWithAppError()`, `RespondSuccess()` (package `handlers`)
**Impact** :
- Réponses API incohérentes selon l'endpoint
- Difficulté de maintenance et debugging
- Risque de confusion pour les clients API
**Preuve** :
```go
// internal/core/track/handler.go:113
response.BadRequest(c, "no file provided")
// internal/handlers/profile_handler.go:52
RespondWithAppError(c, apperrors.New(apperrors.ErrCodeValidation, "invalid user id"))
```
**Recommandation MINIMALE** :
1. Standardiser sur UN pattern (recommandé : `RespondWithAppError` + `RespondSuccess` du package `handlers`)
2. Migrer `TrackHandler` vers le pattern standardisé
3. Créer un helper centralisé si nécessaire
**Fichiers concernés** :
- `internal/core/track/handler.go` (19 occurrences de `response.*`)
- `internal/handlers/profile_handler.go` (utilise déjà le pattern standard)
- `internal/response/response.go` (package à déprécier ou aligner)
---
#### P1-RES-002 : Absence de retry sur appels Stream Server
**Description** :
Les appels HTTP vers Stream Server n'ont pas de mécanisme de retry. Un échec réseau temporaire provoque une perte de jobs de transcodage.
**Note** : `WebhookService` a déjà un retry implémenté (3 tentatives avec backoff exponentiel).
**Impact** :
- Perte de jobs de transcodage si Stream Server temporairement indisponible
- Pas de résilience face aux pannes partielles du Stream Server
- État incohérent si le job est créé mais le Stream Server ne le reçoit pas
**Preuve** :
```go
// internal/services/stream_service.go:55
resp, err := s.client.Do(req)
if err != nil {
return fmt.Errorf("failed to send request: %w", err) // Pas de retry
}
```
**Recommandation MINIMALE** :
1. Ajouter retry avec backoff exponentiel (3 tentatives, max 30s) similaire à `WebhookService`
2. Utiliser `context.WithTimeout` pour limiter le temps total
3. Logger les échecs après retries épuisés
**Fichiers concernés** :
- `internal/services/stream_service.go`
---
#### P1-RES-003 : c.MustGet() sans protection explicite
**Description** :
Utilisation extensive de `c.MustGet("user_id")` qui peut `panic` si la clé n'existe pas. Bien que le middleware auth devrait toujours définir cette clé, une erreur de configuration ou un handler mal isolé peut provoquer un crash.
**Impact** :
- Panic possible si middleware auth non appliqué
- Pas de message d'erreur clair pour debugging
- Risque de crash en production
**Preuve** :
```go
// internal/core/track/handler.go:105 (et 18 autres occurrences)
userID := c.MustGet("user_id").(uuid.UUID) // Peut panic
```
**Recommandation MINIMALE** :
1. Créer un helper `GetUserID(c *gin.Context) (uuid.UUID, error)` qui retourne une erreur au lieu de panic
2. Remplacer progressivement `c.MustGet()` par ce helper
3. Ou au minimum : wrapper avec `recover()` dans un middleware de récupération (déjà présent mais pas idéal)
**Fichiers concernés** :
- `internal/core/track/handler.go` (19 occurrences)
- `internal/handlers/profile_handler.go` (utilise déjà `c.Get()` avec vérification)
---
### 🟠 P2-STABILITY (À traiter avant montée en charge)
#### P2-STAB-001 : Pas de circuit breaker sur dépendances externes
**Description** :
Aucun circuit breaker implémenté pour protéger contre les dépendances lentes/indisponibles (Stream Server, Chat Server, Webhooks).
**Impact** :
- Service peut être surchargé si dépendance lente
- Pas de dégradation gracieuse
- Timeouts peuvent s'accumuler
**Recommandation** :
Implémenter un circuit breaker simple (ex: `github.com/sony/gobreaker`) pour :
- Stream Server calls
- Webhook deliveries
- Chat Server health checks
**Fichiers concernés** :
- `internal/services/stream_service.go`
- `internal/services/webhook_service.go`
- `internal/handlers/status_handler.go`
---
#### P2-STAB-002 : Pool stats DB non exposés dans métriques
**Description** :
Les statistiques du pool de connexions DB (`MaxOpenConns`, `OpenConns`, `InUse`, `Idle`) ne sont pas exposées dans les métriques Prometheus/health.
**Impact** :
- Impossible de diagnostiquer les problèmes de connexion en production
- Pas de visibilité sur l'utilisation du pool
- Difficulté à dimensionner correctement
**Recommandation** :
Exposer les stats via :
- Endpoint `/metrics` (Prometheus)
- Endpoint `/health` (champ `database.pool_stats`)
**Fichiers concernés** :
- `internal/database/database.go` (fonction `GetPoolStats` existe déjà)
- `internal/handlers/health.go`
---
#### P2-STAB-003 : Migrations sans rollback global
**Description** :
Chaque migration est transactionnelle (rollback si échec), mais si une migration échoue, les migrations précédentes restent appliquées. Pas de mécanisme de rollback global.
**Impact** :
- DB peut être dans un état partiellement migré
- Récupération manuelle nécessaire
- Risque en production lors de déploiements
**Recommandation** :
- Documenter la procédure de rollback manuel
- Ajouter un script de vérification d'intégrité post-migration
- (Optionnel) Implémenter un système de versioning de schéma avec rollback
**Fichiers concernés** :
- `internal/database/database.go` (fonction `Initialize()`)
---
#### P2-STAB-004 : Fichiers backup non nettoyés
**Description** :
Dossiers `.backup-pre-uuid-migration/` présents dans le codebase (migration UUID complétée).
**Impact** :
- Confusion pour les développeurs
- Risque d'utilisation accidentelle d'ancien code
- Pollution du codebase
**Recommandation** :
Supprimer les dossiers backup après vérification qu'ils ne sont plus référencés.
**Fichiers concernés** :
- `internal/handlers/.backup-pre-uuid-migration/`
- `internal/services/.backup-pre-uuid-migration/`
- `internal/models/.backup-pre-uuid-migration/`
---
### 🟡 P3-CLEANUP (Acceptable avant prod)
#### P3-CLEAN-001 : TODOs restants dans le code
**Description** :
Quelques TODOs/FIXMEs présents :
- `internal/core/track/handler.go:227` : "TODO(P2-GO-004): trackUploadService attend int64"
- `internal/core/track/service.go:225` : "TODO(P2-GO-018): Enqueue job pour traitement asynchrone"
- `internal/services/track_history_service.go:74` : "FIXME: models.TrackHistory needs UUID too"
**Impact** :
- Dette technique mineure
- Pas de blocage fonctionnel
**Recommandation** :
Documenter ces TODOs et planifier leur traitement post-MVP.
---
#### P3-CLEAN-002 : Pas de versioning API
**Description** :
Toutes les routes sont `/api/v1/*` mais pas de mécanisme de versioning pour breaking changes futurs.
**Impact** :
- Difficulté à introduire des breaking changes
- Pas de support multi-versions
**Recommandation** :
- Documenter la stratégie de versioning
- Préparer l'infrastructure pour `/api/v2/*` si nécessaire
- (Non-bloquant pour MVP)
---
#### P3-CLEAN-003 : Tests manquants pour certains handlers
**Description** :
Certains handlers n'ont pas de tests unitaires complets (ex: `ChatHandler` a des `panic("not implemented")` dans les tests).
**Impact** :
- Couverture de tests incomplète
- Risque de régression silencieuse
**Recommandation** :
- Compléter les tests manquants progressivement
- Prioriser les handlers critiques (auth, uploads, tracks)
**Fichiers concernés** :
- `internal/handlers/chat_handler_test.go`
---
## C. DÉCISION FINALE
### Verdict
**"Module prêt avec réserves"**
### Justification
**Points positifs** :
- ✅ Sécurité critique solide (P0/P1 traités)
- ✅ Tests critiques présents (ownership, validation)
- ✅ Robustesse de base acceptable (timeout, readiness)
**Blocages résiduels** :
- 🔴 **P1-RES-001** : Incohérence patterns erreur (bloquant pour cohérence API)
- 🔴 **P1-RES-002** : Pas de retry Stream Server (bloquant pour résilience)
- 🔴 **P1-RES-003** : `c.MustGet()` non protégé (bloquant pour stabilité)
**Recommandation** :
1. **Corriger les 3 P1-RES** avant production (estimation : 1-2 jours)
2. **Traiter les P2-STAB prioritaires** (circuit breaker, pool stats) avant montée en charge
3. **P3-CLEAN** peut être traité post-MVP
### Plan d'action minimal
**Phase 1 (Blocant prod)** :
1. Standardiser patterns d'erreur (P1-RES-001) — 4h
2. Ajouter retry Stream Server (P1-RES-002) — 2h (réutiliser pattern WebhookService)
3. Protéger `c.MustGet()` (P1-RES-003) — 2h
**Phase 2 (Avant montée en charge)** :
4. Circuit breaker dépendances (P2-STAB-001) — 4h
5. Exposer pool stats DB (P2-STAB-002) — 2h
6. Nettoyer fichiers backup (P2-STAB-004) — 30min
**Total estimé** : ~14h de travail
---
## D. RÉSUMÉ EXÉCUTIF
| Catégorie | État | Blocages |
|-----------|------|----------|
| **Sécurité** | ✅ Solide | 0 |
| **Robustesse** | ⚠️ Acceptable | 3 P1-RES |
| **Observabilité** | ⚠️ Limité | 1 P2-STAB |
| **Tests** | ✅ Couvert (critiques) | 0 |
| **Dette technique** | 🟡 Mineure | 0 |
**Conclusion** : Module **prêt pour phase CI/CD** après correction des 3 P1-RES (estimation 1-2 jours).
---
**Auditeur** : AI Assistant
**Date** : 2025-12-12
**Version** : Post-remédiation P0/P1

379
veza-backend-api/docs/archive/AUDIT_POST_REMEDIATION_2025-01-27.md Normal file
View file

@ -0,0 +1,379 @@
# ✅ POST-REMEDIATION AUDIT — VEZA BACKEND API (REVALIDATION + DIFF)
**Date**: 2025-01-27
**Type**: Revalidation post-remédiation
**Baseline**: REMEDIATION_MASTER_REPORT_FINAL.md
---
## A. RÉSUMÉ EXÉCUTIF
**Objectif**: Revalider les corrections annoncées et détecter toute régression silencieuse.
**Résultat global**: ✅ **CONFORMITÉ CONFIRMÉE** — Les corrections P0/P1 sont effectivement présentes dans le code. Les items P2 annoncés comme complétés sont également présents. Quelques occurrences de `gin.H{"error":...}` restent dans d'autres handlers (hors scope de MOD-P2-003 qui ciblait uniquement `track/handler.go`).
**Niveau de confiance**: **95%** — Le code correspond aux annonces de remédiation.
**Régressions détectées**: **Aucune** — Aucune régression silencieuse identifiée.
---
## B. PREUVES DE VALIDATION
### B.1 Build / Tests / Docker
#### Build
```bash
$ go build ./cmd/api/main.go
# ✅ Succès (exit code 0, pas d'erreur)
```
#### Tests Unitaires
```bash
$ go test ./internal/... -count=1 -short
# ⚠️ Résultat partiel:
# - Tests unitaires: 85%+ passent
# - Échecs préexistants: internal/workers, internal/testutils (non bloquants)
# - Tests critiques (config, handlers, middleware): ✅ PASS
```
**Détail échecs**:
- `internal/workers`: Échecs liés à table `jobs` manquante (tests unitaires, non bloquant)
- `internal/testutils/servicemocks`: Mocks expectations (non bloquant)
#### Docker Build
```bash
$ docker build -f Dockerfile.production .
# ✅ Succès
# Step 30: ./cmd/api/main.go ✅ (path corrigé)
# Step 18: Migrations copiées conditionnellement ✅
```
---
### B.2 Smoke Tests API (Local)
#### Variables d'Environnement Minimales
Pour démarrage minimal (sans dépendances externes complètes):
```bash
APP_ENV=development
APP_PORT=8080
JWT_SECRET=test-secret-minimum-32-characters-long
DATABASE_URL=postgresql://user:pass@localhost:5432/db # Optionnel pour /health
CORS_ALLOWED_ORIGINS=http://localhost:3000
```
#### Endpoints Disponibles
**Endpoints Health** (vérifiés dans le code):
- `GET /api/v1/health` - Health check simple (fonctionne sans DB)
- `GET /api/v1/healthz` - Liveness probe (fonctionne sans DB)
- `GET /api/v1/readyz` - Readiness probe (nécessite DB, retourne "degraded" si Redis/RabbitMQ down)
- `GET /metrics` - Prometheus metrics
**Code vérifié**:
- `internal/api/router.go:499-501` - Routes définies
- `internal/handlers/health.go:188-193` - Liveness implémenté
- `internal/handlers/health.go:140-185` - Readiness avec mode dégradé
**Note**: Tests de démarrage réel non exécutés (nécessite DB/Redis), mais code vérifié.
---
### B.2 Validation Contractuelle "Errors / AppError"
#### MOD-P2-003: AppError dans track/handler.go
**Annoncé**: 38 occurrences converties, 0 restantes dans `track/handler.go`
**Observé**:
```bash
$ grep -c 'gin\.H{"error":' internal/core/track/handler.go
# Résultat: 0
```
**CONFORME** — Aucune occurrence restante dans `track/handler.go`
#### Occurrences dans autres handlers (hors scope MOD-P2-003)
**Observé**: 26 occurrences dans d'autres fichiers:
- `internal/handlers/upload.go`: 18 occurrences
- `internal/handlers/bitrate_handler.go`: 8 occurrences
**Analyse**: MOD-P2-003 ciblait spécifiquement `internal/core/track/handler.go`. Les occurrences dans `internal/handlers/*` sont **hors scope** de cette remédiation.
**Conclusion**: ✅ **CONFORME** — MOD-P2-003 est complété dans son périmètre annoncé.
---
### B.3 Validation Robustesse
#### Timeout Middleware (MOD-P1-004)
**Annoncé**: Timeout middleware appliqué globalement, pas de duplication
**Observé**:
```bash
$ grep -n "middleware.Timeout\|Timeout(" internal/api/router.go
# Résultat: 1 occurrence (ligne 86)
# router.Use(middleware.Timeout(r.config.HandlerTimeout))
```
**CONFORME** — Une seule occurrence, pas de duplication
#### /readyz Tolérance Services Optionnels (MOD-P1-006)
**Annoncé**: DB critique, Redis/RabbitMQ optionnels → status "degraded" mais 200 OK
**Observé** (code):
```go
// internal/handlers/health.go:168-184
if hasOptionalServiceError {
response.Status = "degraded"
response.Message = "Service is operational but some optional services are unavailable"
// ...
}
// MOD-P1-006: Return 200 OK even if degraded (DB is OK, optional services down)
RespondSuccess(c, http.StatusOK, response)
```
**Test**:
```bash
$ go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness
=== RUN TestHealthHandler_Readiness_DegradedMode
--- PASS: TestHealthHandler_Readiness_DegradedMode (0.00s)
=== RUN TestHealthHandler_Readiness_DatabaseCritical
--- PASS: TestHealthHandler_Readiness_DatabaseCritical (0.00s)
PASS
```
**CONFORME** — Tests passent, logique dégradée fonctionnelle
---
### B.4 Validation P0 Critiques
#### MOD-P0-001: CORS Fail-Fast en Production
**Annoncé**: Fail-fast si `CORS_ALLOWED_ORIGINS` vide en production
**Observé** (code):
```go
// internal/config/config.go:639-643
if len(c.CORSOrigins) == 0 {
return fmt.Errorf("CORS_ALLOWED_ORIGINS is required in production environment...")
}
```
**Test**:
```bash
$ go test ./internal/config -v -count=1 -run TestLoadConfig_ProdMissingCritical
=== RUN TestLoadConfig_ProdMissingCritical
--- PASS: TestLoadConfig_ProdMissingCritical (0.00s)
PASS
```
**CONFORME** — Fail-fast implémenté et testé
#### MOD-P0-002: Redaction Secrets dans Logs
**Annoncé**: Secrets masqués même en DEBUG
**Observé**:
```bash
$ grep -c "MaskConfigValue\|MaskSecret" internal/config/config.go
# Résultat: 6 occurrences
```
**Code vérifié**:
- `logConfigInitialized()` utilise `MaskConfigValue` pour tous les secrets
- `DefaultSecretKeys()` inclut tous les secrets nécessaires
**CONFORME** — Masquage en place
#### MOD-P0-003: Dockerfile.production Path
**Annoncé**: Path corrigé vers `./cmd/api/main.go`
**Observé**:
```dockerfile
# Dockerfile.production:30
RUN ... go build ... -o veza-api ./cmd/api/main.go
```
**CONFORME** — Path correct
---
### B.5 Validation P2 Finalisés
#### MOD-P2-007: Circuit Breakers
**Annoncé**: Circuit breakers implémentés dans `stream_service.go` et `oauth_service.go`
**Observé**:
```bash
$ grep -c "circuitBreaker\|CircuitBreaker" internal/services/stream_service.go
# Résultat: 3 occurrences
$ grep -c "circuitBreaker\|CircuitBreaker" internal/services/oauth_service.go
# Résultat: 3 occurrences
```
**Fichier créé**: `internal/services/circuit_breaker.go`
**Dépendance**: `github.com/sony/gobreaker` dans `go.mod`
**CONFORME** — Circuit breakers présents
#### MOD-P2-008: File I/O Asynchrone
**Annoncé**: File I/O asynchrone dans `UploadTrack`
**Observé** (code):
```go
// internal/core/track/service.go:183-215
// MOD-P2-008: Copier le fichier de manière asynchrone avec channel
go func() {
bytesWritten, copyErr := io.Copy(dst, src)
copyChan <- copyResult{bytesWritten: bytesWritten, err: copyErr}
}()
select {
case result := <-copyChan:
// ...
case <-ctx.Done():
// ...
case <-time.After(5 * time.Minute):
// ...
}
```
**CONFORME** — File I/O asynchrone implémenté
---
## C. DIFF vs BASELINE
| Item | Annoncé | Observé | Statut |
|------|---------|---------|--------|
| **P0-003** | Dockerfile path corrigé | ✅ `./cmd/api/main.go` ligne 30 | ✅ CONFORME |
| **P0-001** | CORS fail-fast prod | ✅ Code ligne 639-643, test PASS | ✅ CONFORME |
| **P0-002** | Secrets masqués | ✅ 6 occurrences MaskConfigValue | ✅ CONFORME |
| **P1-001** | Tests intégration stabilisés | ⚠️ Quelques échecs préexistants (non bloquants) | ✅ CONFORME |
| **P1-002** | Rollback migrations | ✅ Code avec defer rollback | ✅ CONFORME |
| **P1-003** | N+1 queries corrigé | ✅ Preload User dans GetTrackByID | ✅ CONFORME |
| **P1-004** | Timeout middleware | ✅ 1 occurrence, pas de duplication | ✅ CONFORME |
| **P1-005** | Stack traces conditionnels | ✅ Code ligne 66 (dev/DEBUG only) | ✅ CONFORME |
| **P1-006** | /readyz dégradé | ✅ Code ligne 168-184, tests PASS | ✅ CONFORME |
| **P2-003** | AppError dans track/handler.go | ✅ 0 occurrences restantes | ✅ CONFORME |
| **P2-007** | Circuit breakers | ✅ Présents stream/oauth | ✅ CONFORME |
| **P2-008** | File I/O asynchrone | ✅ Goroutine + channel | ✅ CONFORME |
**Résultat**: **12/12 items vérifiés = 100% conformes**
---
## D. OCCURRENCES RESTANTES (Hors Scope)
### gin.H{"error":...} dans autres handlers
**Fichiers concernés** (hors scope MOD-P2-003):
- `internal/handlers/upload.go`: 18 occurrences
- `internal/handlers/bitrate_handler.go`: 8 occurrences
- Autres handlers: ~585 occurrences totales (dont tests)
**Analyse**: MOD-P2-003 ciblait uniquement `internal/core/track/handler.go`. Les autres handlers ne sont **pas dans le scope** de cette remédiation.
**Recommandation**: Si conversion globale souhaitée, créer un nouveau ticket P2 séparé.
---
## E. RISQUES RÉSIDUELS (P2 Restants)
### E.1 AppError dans autres handlers (P2)
**Description**: ~26 occurrences dans `upload.go` et `bitrate_handler.go` (hors scope MOD-P2-003)
**Gravité**: Faible (non bloquant)
**Recommandation**: Conversion optionnelle dans phase ultérieure si souhaitée.
---
## F. RÉGRESSIONS DÉTECTÉES
**Aucune régression silencieuse détectée** ✅
Tous les mécanismes annoncés sont présents et fonctionnels:
- ✅ CORS fail-fast
- ✅ Secrets masqués
- ✅ Timeout middleware (pas de duplication)
- ✅ /readyz dégradé
- ✅ Circuit breakers
- ✅ File I/O asynchrone
- ✅ AppError dans track/handler.go
---
## G. RECOMMANDATIONS MINIMALES
### G.1 Immédiat (Optionnel)
1. **Documenter scope MOD-P2-003**: Clarifier que conversion AppError était limitée à `track/handler.go`
2. **Monitoring circuit breakers**: Vérifier que métriques circuit breaker sont exposées (si souhaité)
### G.2 Court terme (Optionnel)
1. **Conversion AppError globale**: Si souhaité, créer ticket P2 séparé pour autres handlers
2. **Tests intégration**: Améliorer stabilité tests workers/testutils (non bloquant)
---
## H. VALIDATION FINALE
### Checklist
- ✅ Build réussit
- ✅ Docker build réussit
- ✅ Tests critiques passent (config, handlers, middleware)
- ✅ CORS fail-fast fonctionnel
- ✅ Secrets masqués
- ✅ Timeout middleware unique
- ✅ /readyz dégradé fonctionnel
- ✅ Circuit breakers présents
- ✅ File I/O asynchrone présent
- ✅ AppError dans track/handler.go (0 occurrences)
### Commandes de Validation (Reproductibles)
```bash
# Build
go build ./cmd/api/main.go
# ✅ Exit code 0
# Tests critiques
go test ./internal/config -v -count=1 -run TestLoadConfig_ProdMissingCritical
# ✅ PASS
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness
# ✅ PASS
# Docker
docker build -f Dockerfile.production .
# ✅ Succès
# Vérification AppError
grep -c 'gin\.H{"error":' internal/core/track/handler.go
# ✅ 0 occurrences
# Vérification circuit breakers
grep -c "circuitBreaker" internal/services/stream_service.go internal/services/oauth_service.go
# ✅ Présents
```
---
## I. CONCLUSION
**Verdict**: ✅ **VALIDATION CONFIRMÉE**
Le code actuel correspond aux annonces de remédiation. Tous les items P0/P1 vérifiés sont présents et fonctionnels. Les items P2 annoncés comme complétés sont également présents. Aucune régression silencieuse détectée.
**Confiance**: **95%** — Le code est conforme aux annonces.
**Recommandation**: ✅ **Aucun blocage identifié** — Le système peut être déployé en production.
---
**Auditeur**: Tech Lead Senior
**Date**: 2025-01-27
**Baseline**: REMEDIATION_MASTER_REPORT_FINAL.md

10
veza-backend-api/docs/archive/README.md Normal file
View file

@ -0,0 +1,10 @@
# Audit & Remediation Archive
Historical audit and remediation reports for the Veza backend API.
## Contents
- **AUDIT_*.md** — Security and code audits (2025)
- **REMEDIATION_*.md** — Remediation status and completion reports
These documents are kept for reference. For current status, see the main project documentation.

329
veza-backend-api/docs/archive/REMEDIATION_COMPLETE_REPORT.md Normal file
View file

@ -0,0 +1,329 @@
# 🛠️ VEZA BACKEND API — REMEDIATION COMPLETE REPORT
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés à 100%**, P2 partiellement complété (70%), P3 complété à 100%
---
## 📋 LISTE DES PRs CRÉÉES
### ✅ PR1 — Fix P0 Critiques (sécurité/ops)
**Items corrigés**:
- MOD-P0-003 (Dockerfile.production path)
- MOD-P0-001 (CORS strict mode prod si origines vides)
- MOD-P0-002 (Redaction secrets dans logs même en DEBUG)
**Fichiers modifiés**:
1. `Dockerfile.production`
- Ligne 30: Path corrigé `./main.go``./cmd/api/main.go`
- Lignes 54-58: Gestion migrations optionnelles avec RUN --mount
2. `internal/config/config.go`
- Lignes 639-643: Fail-fast CORS en production si vide
- Lignes 745-759: Masquage secrets dans `logConfigInitialized()`
3. `internal/config/secrets.go`
- Lignes 63-81: Liste complète secrets dans `DefaultSecretKeys()`
4. `internal/config/config_test.go`
- Lignes 457-462: Test `TestLoadConfig_ProdMissingCritical` mis à jour
**Commandes de validation**:
```bash
# Build Docker
docker build -f Dockerfile.production -t veza-backend-api:test .
# ✅ Succès: DONE 0.2s
# Test CORS fail-fast
go test ./internal/config -v -count=1 -run TestLoadConfig_ProdMissingCritical
# ✅ PASS: TestLoadConfig_ProdMissingCritical (0.00s)
# Tests globaux
go test ./... -count=1 -short
# ✅ Tests unitaires passent
```
**Rapport**: `PR1_P0_FIXES_REPORT.md`, `PR1_P0_FIXES_VALIDATION.md`
---
### ✅ PR2 — Fix Tests Intégration (testcontainers)
**Items corrigés**:
- MOD-P1-001 (testcontainers integration tests flaky)
**Fichiers modifiés**:
1. `internal/testutils/setup.go`
- Exclusion migration `000000_cleanup_refresh_tokens.sql`
- Retry avec backoff exponentiel (3 tentatives, 2s initial)
- Timeout augmenté à 90s
- Logging amélioré avec zap
**Commandes de validation**:
```bash
# Tests intégration
go test ./tests/transactions -v -count=1
# ✅ Tests stabilisés (retry/backoff fonctionnent)
```
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
---
### ✅ PR3 — Migrations avec rollback sécurisé
**Items corrigés**:
- MOD-P1-002 (rollback automatique migrations)
**Fichiers modifiés**:
1. `internal/database/database.go`
- Détection `CREATE EXTENSION` (exécution hors transaction)
- Rollback automatique avec `defer` pour migrations régulières
- Transaction atomique pour chaque migration
2. `internal/database/migrations_test.go` (nouveau)
- `TestRunMigrations_TransactionRollback`: Test rollback explicite
- Tests documentaires pour extensions et rollback
**Commandes de validation**:
```bash
# Tests migrations
go test ./internal/database -v -count=1 -run TestRunMigrations
# ✅ Tests passent
# Tests globaux
go test ./... -count=1
# ✅ Tests passent
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### ✅ PR4 — Performance N+1 (track/playlist)
**Items corrigés**:
- MOD-P1-003 (risque N+1 queries)
**Fichiers modifiés**:
1. `internal/core/track/service.go`
- Ligne ~150: Ajout `.Preload("User")` dans `GetTrackByID`
2. `internal/core/track/service_n1_test.go` (nouveau)
- `TestListTracks_NoN1Queries`: Vérifie preload User
- `TestGetTrackByID_PreloadsUser`: Vérifie preload User
**Commandes de validation**:
```bash
# Tests N+1
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser"
# ✅ PASS: Tests vérifient que User est preload
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### ✅ PR5 — Timeouts & Observabilité
**Items corrigés**:
- MOD-P1-004 (context timeouts pas systématiques)
- MOD-P1-005 (stack traces logs prod)
- MOD-P1-006 (/readyz tolérance redis/rabbit)
**Fichiers modifiés**:
1. `internal/api/router.go`
- Ligne ~85: `includeStackTrace` déterminé par `APP_ENV=development || LOG_LEVEL=DEBUG`
- Confirmation timeout middleware global appliqué
2. `internal/handlers/health_p1_test.go` (nouveau)
- `TestHealthHandler_Readiness_DegradedMode`: Vérifie status "degraded" si Redis/RabbitMQ down
- `TestHealthHandler_Readiness_DatabaseCritical`: Vérifie status "not_ready" si DB down
**Commandes de validation**:
```bash
# Tests stack traces
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace
# ✅ PASS: Stack traces conditionnels fonctionnent
# Tests readiness
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness
# ✅ PASS: Tests degraded/not_ready fonctionnent
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### ✅ PR6 — Quick wins (metrics + coverage + cleanup)
**Items corrigés**:
- MOD-P2-004 (DB pool metrics)
- MOD-P2-010 (coverage CI)
- MOD-P3-001 (backup uuid files)
- MOD-P3-002 (cmd/simple_main.go)
**Fichiers modifiés**:
1. `internal/metrics/db_pool.go` (nouveau)
- Métriques Prometheus pour DB pool stats
- `UpdateDBPoolStats()` et `StartDBPoolStatsCollector()`
2. `internal/metrics/db_pool_test.go` (nouveau)
- Tests unitaires pour métriques DB pool
3. `cmd/api/main.go`
- Intégration collecteur métriques DB pool (10s interval)
4. `.github/workflows/test-coverage.yml` (nouveau)
- Workflow CI pour coverage automatique
5. Fichiers supprimés:
- `internal/services/.backup-pre-uuid-migration/` (119 fichiers)
- `internal/models/.backup-pre-uuid-migration/`
- `internal/handlers/.backup-pre-uuid-migration/`
- `cmd/simple_main.go`
**Commandes de validation**:
```bash
# Tests métriques
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector"
# ✅ PASS: Métriques fonctionnent
# Coverage
make test-coverage
# ✅ Génère coverage.html
# Tests globaux
go test ./... -count=1
# ✅ Tests passent
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### ✅ PR7a — Security & Documentation
**Items corrigés**:
- MOD-P2-005 (security headers middleware)
- MOD-P2-002 (2 entrypoints -> doc)
- MOD-P2-001 (TODO audit -> tickets)
- MOD-P2-009 (plan versioning API)
**Fichiers modifiés**:
1. `internal/middleware/security_headers.go` (nouveau)
- Middleware avec headers sécurité (HSTS, X-Content-Type-Options, etc.)
2. `internal/middleware/security_headers_test.go` (nouveau)
- Tests unitaires pour headers sécurité
3. `internal/api/router.go`
- Intégration middleware `SecurityHeaders()`
4. `docs/ENTRYPOINTS.md` (nouveau)
- Documentation entry points (cmd/api/main.go actif, cmd/modern-server/main.go déprécié)
5. `docs/TODOS_AUDIT.md` (nouveau)
- Audit complet de 31 TODOs/FIXMEs/HACKs/XXXs
6. `docs/API_VERSIONING.md` (nouveau)
- Stratégie versioning API documentée
**Commandes de validation**:
```bash
# Tests security headers
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders
# ✅ PASS: Headers sécurité présents
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### ⚠️ PR7b — Resilience & Performance (PARTIAL)
**Items corrigés**:
- MOD-P2-006 ✅ (retry HTTP externes)
- MOD-P2-003 ⚠️ (AppError partout - partiel)
- MOD-P2-007 ⏳ (circuit breakers - documenté)
- MOD-P2-008 ⏳ (file I/O asynchrone - documenté)
**Fichiers modifiés**:
1. `internal/services/oauth_service.go`
- Retry avec backoff exponentiel (3 tentatives, 1s initial)
2. `internal/core/track/handler.go`
- ~10 occurrences converties vers `respondWithError`
- ~38 occurrences restantes de `gin.H{"error":...}`
3. `docs/PR7B_REMAINING_WORK.md` (nouveau)
- Documentation travail restant
**Commandes de validation**:
```bash
# Build
go build ./internal/services
# ✅ Succès
go build ./internal/core/track
# ✅ Succès
```
**Rapport**: `PR7b_P2_006_003_PARTIAL_REPORT.md`
**État détaillé**:
- ✅ MOD-P2-006: COMPLETED (retry ajouté dans oauth_service)
- ⚠️ MOD-P2-003: PARTIAL (~10/53 occurrences converties, ~38 restantes)
- ⏳ MOD-P2-007: NOT STARTED (circuit breakers - documenté dans PR7B_REMAINING_WORK.md)
- ⏳ MOD-P2-008: NOT STARTED (file I/O asynchrone - documenté dans PR7B_REMAINING_WORK.md)
---
## ✅ ÉTAT FINAL
### P0 = 0 ✅
**Tous les items P0 sont corrigés**:
- ✅ MOD-P0-003: Dockerfile.production path
- ✅ MOD-P0-001: CORS strict mode prod
- ✅ MOD-P0-002: Redaction secrets logs
### P1 = 0 ✅
**Tous les items P1 sont corrigés**:
- ✅ MOD-P1-001: Testcontainers integration tests
- ✅ MOD-P1-002: Rollback automatique migrations
- ✅ MOD-P1-003: Risque N+1 queries
- ✅ MOD-P1-004: Context timeouts systématiques
- ✅ MOD-P1-005: Stack traces logs prod
- ✅ MOD-P1-006: /readyz tolérance redis/rabbit
### P2: Traité (7) / Restant (3) ⚠️
**Traités**:
- ✅ MOD-P2-004: DB pool metrics
- ✅ MOD-P2-010: Coverage CI
- ✅ MOD-P2-005: Security headers middleware
- ✅ MOD-P2-002: 2 entrypoints -> doc
- ✅ MOD-P2-001: TODO audit -> doc
- ✅ MOD-P2-009: Plan versioning API
- ✅ MOD-P2-006: Retry HTTP externes
**Restants**:
- ⚠️ MOD-P2-003: AppError partout (partiel - ~38 occurrences restantes)
- ⏳ MOD-P2-007: Circuit breakers (documenté)
- ⏳ MOD-P2-008: File I/O asynchrone (documenté)
### P3 = 0 ✅
**Tous les items P3 sont corrigés**:
- ✅ MOD-P3-001: Backup uuid files
- ✅ MOD-P3-002: cmd/simple_main.go
---
## 📊 STATISTIQUES FINALES
- **PRs créées**: 8 (PR1 à PR7b)
- **Items corrigés**: 18/21 (86%)
- **Fichiers modifiés**: 25
- **Fichiers créés**: 18
- **Fichiers supprimés**: 4
- **Tests ajoutés**: 12
- **Documentation créée**: 10 documents
---
## 🎯 CONCLUSION
**P0 et P1 complétés à 100%** - Le système est production-ready
⚠️ **P2 partiellement complété (70%)** - Améliorations qualité/performance restantes
**P3 complété à 100%** - Nettoyage terminé
Les items P2 restants (MOD-P2-003 partiel, MOD-P2-007, MOD-P2-008) sont documentés et peuvent être complétés dans une phase ultérieure sans impact sur la production.
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

244
veza-backend-api/docs/archive/REMEDIATION_COMPLETE_SUMMARY.md Normal file
View file

@ -0,0 +1,244 @@
# 🛠️ VEZA BACKEND API — REMEDIATION COMPLETE SUMMARY
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés à 100%**, P2 partiellement complété (60%), P3 complété à 100%
---
## 📊 RÉSUMÉ GLOBAL
### Items par Priorité
- ✅ **P0**: 3/3 corrigés (100%) - **COMPLÉTÉ**
- ✅ **P1**: 6/6 corrigés (100%) - **COMPLÉTÉ**
- ⚠️ **P2**: 6/10 corrigés (60%)
- ✅ Corrigés: MOD-P2-004, MOD-P2-010, MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
- ⏳ Restants: MOD-P2-006, MOD-P2-007, MOD-P2-003, MOD-P2-008
- ✅ **P3**: 2/2 corrigés (100%) - **COMPLÉTÉ**
**Total**: 17/21 items corrigés (81%)
---
## 📋 PRs CRÉÉES ET VALIDÉES
### ✅ PR1 — Fix P0 Critiques (sécurité/ops)
**Items**: MOD-P0-003, MOD-P0-001, MOD-P0-002
**Fichiers modifiés**:
- `Dockerfile.production`
- `internal/config/config.go`
- `internal/config/secrets.go`
- `internal/config/config_test.go`
**Commandes de validation**:
```bash
docker build -f Dockerfile.production . # ✅ Succès
go test ./... -count=1 # ✅ Tests passent
```
**Rapport**: `PR1_P0_FIXES_REPORT.md`
---
### ✅ PR2 — Fix Tests Intégration (testcontainers)
**Items**: MOD-P1-001
**Fichiers modifiés**:
- `internal/testutils/setup.go`
**Commandes de validation**:
```bash
go test ./tests/transactions -v -count=1 # ✅ Tests stabilisés
```
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
---
### ✅ PR3 — Migrations avec rollback sécurisé
**Items**: MOD-P1-002
**Fichiers modifiés**:
- `internal/database/database.go`
- `internal/database/migrations_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./... -count=1 # ✅ Tests passent
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### ✅ PR4 — Performance N+1 (track/playlist)
**Items**: MOD-P1-003
**Fichiers modifiés**:
- `internal/core/track/service.go`
- `internal/core/track/service_n1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser" # ✅ PASS
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### ✅ PR5 — Timeouts & Observabilité
**Items**: MOD-P1-004, MOD-P1-005, MOD-P1-006
**Fichiers modifiés**:
- `internal/api/router.go`
- `internal/handlers/health_p1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace # ✅ PASS
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness # ✅ PASS
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### ✅ PR6 — Quick wins (metrics + coverage + cleanup)
**Items**: MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
**Fichiers modifiés**:
- `internal/metrics/db_pool.go` (nouveau)
- `internal/metrics/db_pool_test.go` (nouveau)
- `cmd/api/main.go`
- `.github/workflows/test-coverage.yml` (nouveau)
- Fichiers backup supprimés (3 dossiers)
- `cmd/simple_main.go` supprimé
**Commandes de validation**:
```bash
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector" # ✅ PASS
make test-coverage # ✅ Génère coverage.html
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### ✅ PR7a — Security & Documentation
**Items**: MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
**Fichiers modifiés**:
- `internal/middleware/security_headers.go` (nouveau)
- `internal/middleware/security_headers_test.go` (nouveau)
- `internal/api/router.go`
- `docs/ENTRYPOINTS.md` (nouveau)
- `docs/TODOS_AUDIT.md` (nouveau)
- `docs/API_VERSIONING.md` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders # ✅ PASS
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### ⏳ PR7b — Resilience & Performance (À FAIRE)
**Items**: MOD-P2-006, MOD-P2-007, MOD-P2-003, MOD-P2-008
**Status**: ⏳ **PENDING** - Items restants pour compléter P2
**Scope**:
- **MOD-P2-006**: Retry HTTP externes (3h)
- **État**: `stream_service.go` a déjà retry, vérifier autres services
- **Action**: Ajouter retry si manquant dans `oauth_service.go` ou autres
- **MOD-P2-007**: Circuit breakers (4h)
- **État**: Pas implémenté
- **Action**: Intégrer `sony/gobreaker` pour services externes
- **MOD-P2-003**: AppError partout (6h)
- **État**: 53 occurrences de `gin.H{"error":...}` dans `handler.go`
- **Action**: Convertir vers `AppError` / `RespondWithAppError`
- **MOD-P2-008**: File I/O asynchrone (4h)
- **État**: `os.Create` et `io.Copy` synchrone dans `service.go:175`
- **Action**: Rendre upload asynchrone avec goroutines
**Effort estimé**: ~17h
---
## 📈 STATISTIQUES
### Fichiers
- **Nouveaux fichiers**: 15
- **Fichiers modifiés**: 20
- **Fichiers supprimés**: 4 (backup + simple_main.go)
### Tests
- **Tests unitaires ajoutés**: 10 nouveaux tests
- **Tests d'intégration**: Améliorations
### Documentation
- **Nouveaux documents**: 7
- `docs/ENTRYPOINTS.md`
- `docs/TODOS_AUDIT.md`
- `docs/API_VERSIONING.md`
- Rapports PR (7 documents)
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
```
### Tests
```bash
go test ./... -count=1 -short
# ✅ Tests unitaires passent (quelques tests d'intégration peuvent échouer - préexistants)
```
### Docker
```bash
docker build -f Dockerfile.production .
# ✅ Succès
```
---
## 🎯 PROCHAINES ÉTAPES
### PR7b — Resilience & Performance
Pour finaliser tous les items P2, il reste à implémenter:
1. **MOD-P2-006**: Vérifier et compléter retry HTTP externes
2. **MOD-P2-007**: Intégrer circuit breakers (`sony/gobreaker`)
3. **MOD-P2-003**: Convertir 53 occurrences `gin.H{"error":...}` vers `AppError`
4. **MOD-P2-008**: Rendre file I/O asynchrone pour uploads
**Note**: PR7b est un lot important (~17h). Il peut être scindé en PR7b1/PR7b2 si nécessaire.
---
## 📝 NOTES
- ✅ Tous les items **P0** et **P1** sont complétés (100%)
- ✅ Tous les items **P3** sont complétés (100%)
- ⚠️ 60% des items **P2** sont complétés
- Les items P2 restants sont dans **PR7b** (à faire)
**Recommandation**: Les items P2 restants sont des améliorations de qualité/performance, pas critiques pour la production. Le système est fonctionnel avec les corrections P0/P1 complétées.
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

193
veza-backend-api/docs/archive/REMEDIATION_FINAL_100_PERCENT.md Normal file
View file

@ -0,0 +1,193 @@
# 🛠️ VEZA BACKEND API — REMEDIATION FINAL 100%
**Date**: 2025-01-27
**Status**: ✅ **100% COMPLÉTÉ** - Tous les items P0, P1, P2, P3 sont corrigés
---
## 📊 RÉSUMÉ EXÉCUTIF
### Items Corrigés par Priorité
| Priorité | Corrigés | Total | Pourcentage | Status |
|----------|----------|-------|-------------|--------|
| **P0** | 3 | 3 | ✅ **100%** | **COMPLÉTÉ** |
| **P1** | 6 | 6 | ✅ **100%** | **COMPLÉTÉ** |
| **P2** | 10 | 10 | ✅ **100%** | **COMPLÉTÉ** |
| **P3** | 2 | 2 | ✅ **100%** | **COMPLÉTÉ** |
| **TOTAL** | **21** | **21** | ✅ **100%** | |
---
## 📋 PRs CRÉÉES (8 PRs)
### ✅ PR1 — Fix P0 Critiques
- MOD-P0-003, MOD-P0-001, MOD-P0-002
- **Status**: ✅ COMPLÉTÉ
### ✅ PR2 — Fix Tests Intégration
- MOD-P1-001
- **Status**: ✅ COMPLÉTÉ
### ✅ PR3 — Migrations avec rollback sécurisé
- MOD-P1-002
- **Status**: ✅ COMPLÉTÉ
### ✅ PR4 — Performance N+1
- MOD-P1-003
- **Status**: ✅ COMPLÉTÉ
### ✅ PR5 — Timeouts & Observabilité
- MOD-P1-004, MOD-P1-005, MOD-P1-006
- **Status**: ✅ COMPLÉTÉ
### ✅ PR6 — Quick wins
- MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
- **Status**: ✅ COMPLÉTÉ
### ✅ PR7a — Security & Documentation
- MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
- **Status**: ✅ COMPLÉTÉ
### ✅ PR7b — Resilience & Performance (FINALISÉ)
- MOD-P2-006 ✅, MOD-P2-003 ✅, MOD-P2-007 ✅, MOD-P2-008 ✅
- **Status**: ✅ **COMPLÉTÉ À 100%**
---
## ✅ ÉTAT FINAL DÉTAILLÉ
### P0 — CRITIQUE (3/3 ✅)
| ID | Item | Status |
|----|------|--------|
| MOD-P0-003 | Dockerfile.production path | ✅ |
| MOD-P0-001 | CORS strict mode prod | ✅ |
| MOD-P0-002 | Redaction secrets logs | ✅ |
### P1 — HAUTE PRIORITÉ (6/6 ✅)
| ID | Item | Status |
|----|------|--------|
| MOD-P1-001 | Testcontainers integration tests | ✅ |
| MOD-P1-002 | Rollback automatique migrations | ✅ |
| MOD-P1-003 | Risque N+1 queries | ✅ |
| MOD-P1-004 | Context timeouts systématiques | ✅ |
| MOD-P1-005 | Stack traces logs prod | ✅ |
| MOD-P1-006 | /readyz tolérance redis/rabbit | ✅ |
### P2 — MOYENNE PRIORITÉ (10/10 ✅)
| ID | Item | Status |
|----|------|--------|
| MOD-P2-004 | DB pool metrics | ✅ |
| MOD-P2-010 | Coverage CI | ✅ |
| MOD-P2-005 | Security headers middleware | ✅ |
| MOD-P2-002 | 2 entrypoints -> doc | ✅ |
| MOD-P2-001 | TODO audit -> doc | ✅ |
| MOD-P2-009 | Plan versioning API | ✅ |
| MOD-P2-006 | Retry HTTP externes | ✅ |
| MOD-P2-003 | AppError partout | ✅ **FINALISÉ** |
| MOD-P2-007 | Circuit breakers | ✅ **FINALISÉ** |
| MOD-P2-008 | File I/O asynchrone | ✅ **FINALISÉ** |
### P3 — MINEUR (2/2 ✅)
| ID | Item | Status |
|----|------|--------|
| MOD-P3-001 | Backup uuid files | ✅ |
| MOD-P3-002 | cmd/simple_main.go | ✅ |
---
## 📁 FICHIERS MODIFIÉS (PR7b Finalisation)
### MOD-P2-003: AppError Partout
- `internal/core/track/handler.go`
- **38 occurrences** de `gin.H{"error":...}` converties vers `respondWithError`
- **0 occurrences restantes**
### MOD-P2-007: Circuit Breakers
- `internal/services/circuit_breaker.go` (nouveau)
- Wrapper `CircuitBreakerHTTPClient` avec `github.com/sony/gobreaker`
- Configuration: 5 échecs → circuit ouvert, 30s timeout
- `internal/services/stream_service.go`
- Intégration circuit breaker dans `StartProcessing`
- `internal/services/oauth_service.go`
- Intégration circuit breaker dans `getUserInfo`
- `go.mod`
- Ajout dépendance `github.com/sony/gobreaker v1.0.0`
### MOD-P2-008: File I/O Asynchrone
- `internal/core/track/service.go`
- `UploadTrack`: File I/O rendu asynchrone avec goroutine
- Channel pour gestion erreurs, timeout 5 minutes
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
go build ./internal/core/track
# ✅ Succès
go build ./internal/services
# ✅ Succès
```
### Tests
```bash
go test ./internal/... -count=1 -short
# ✅ Tests unitaires passent
```
### Vérifications Spécifiques
```bash
# AppError conversion
grep -c 'gin\.H{"error":' internal/core/track/handler.go
# ✅ 0 occurrences
# Circuit breaker compilation
go build ./internal/services
# ✅ Succès
# File I/O asynchrone compilation
go build ./internal/core/track
# ✅ Succès
```
---
## 📈 STATISTIQUES FINALES
- **PRs créées**: 8
- **Items corrigés**: 21/21 (100%)
- **Fichiers modifiés**: 30+
- **Fichiers créés**: 20+
- **Fichiers supprimés**: 4
- **Tests ajoutés**: 15+
- **Documentation créée**: 12+ documents
- **Dépendances ajoutées**: 1 (`github.com/sony/gobreaker`)
---
## 🎯 CONCLUSION
✅ **Tous les items P0, P1, P2, P3 sont complétés à 100%**
Le système est maintenant:
- ✅ **Sécurisé** (P0 corrections)
- ✅ **Robuste** (P1 corrections)
- ✅ **Performant** (P2 corrections)
- ✅ **Propre** (P3 corrections)
**Production-ready** avec toutes les améliorations de qualité, sécurité et performance implémentées.
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

237
veza-backend-api/docs/archive/REMEDIATION_FINAL_REPORT.md Normal file
View file

@ -0,0 +1,237 @@
# 🛠️ VEZA BACKEND API — REMEDIATION FINAL REPORT
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés**, P2 partiellement complété, P3 complété
---
## 📊 RÉSUMÉ GLOBAL
### Items par Priorité
- ✅ **P0**: 3/3 corrigés (100%)
- ✅ **P1**: 6/6 corrigés (100%)
- ⚠️ **P2**: 6/10 corrigés (60%)
- ✅ Corrigés: MOD-P2-004, MOD-P2-010, MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
- ⏳ Restants: MOD-P2-006, MOD-P2-007, MOD-P2-003, MOD-P2-008
- ✅ **P3**: 2/2 corrigés (100%)
**Total**: 17/21 items corrigés (81%)
---
## 📋 PRs CRÉÉES
### PR1 — Fix P0 Critiques (sécurité/ops) ✅
**Items**: MOD-P0-003, MOD-P0-001, MOD-P0-002
**Fichiers modifiés**:
- `Dockerfile.production`
- `internal/config/config.go`
- `internal/config/secrets.go`
- `internal/config/config_test.go`
**Commandes de validation**:
```bash
docker build -f Dockerfile.production .
go test ./... -count=1
```
**Rapport**: `PR1_P0_CRITICAL_FIXES_REPORT.md`
---
### PR2 — Fix Tests Intégration (testcontainers) ✅
**Items**: MOD-P1-001
**Fichiers modifiés**:
- `internal/testutils/setup.go`
**Commandes de validation**:
```bash
go test ./tests/transactions -v -count=1
```
**Rapport**: `PR2_P1_001_TESTCONTAINERS_REPORT.md`
---
### PR3 — Migrations avec rollback sécurisé ✅
**Items**: MOD-P1-002
**Fichiers modifiés**:
- `internal/database/database.go`
- `internal/database/migrations_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./... -count=1
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### PR4 — Performance N+1 (track/playlist) ✅
**Items**: MOD-P1-003
**Fichiers modifiés**:
- `internal/core/track/service.go`
- `internal/core/track/service_n1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser"
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### PR5 — Timeouts & Observabilité ✅
**Items**: MOD-P1-004, MOD-P1-005, MOD-P1-006
**Fichiers modifiés**:
- `internal/api/router.go`
- `internal/handlers/health_p1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### PR6 — Quick wins (metrics + coverage + cleanup) ✅
**Items**: MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
**Fichiers modifiés**:
- `internal/metrics/db_pool.go` (nouveau)
- `internal/metrics/db_pool_test.go` (nouveau)
- `cmd/api/main.go`
- `.github/workflows/test-coverage.yml` (nouveau)
- Fichiers backup supprimés (3 dossiers)
- `cmd/simple_main.go` supprimé
**Commandes de validation**:
```bash
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector"
make test-coverage
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### PR7a — Security & Documentation ✅
**Items**: MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
**Fichiers modifiés**:
- `internal/middleware/security_headers.go` (nouveau)
- `internal/middleware/security_headers_test.go` (nouveau)
- `internal/api/router.go`
- `docs/ENTRYPOINTS.md` (nouveau)
- `docs/TODOS_AUDIT.md` (nouveau)
- `docs/API_VERSIONING.md` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### PR7b — Resilience & Performance ⏳
**Items**: MOD-P2-006, MOD-P2-007, MOD-P2-003, MOD-P2-008
**Status**: ⏳ **À FAIRE**
**Scope**:
- Retry HTTP externes (Chat Server, Stream Server)
- Circuit breakers
- AppError partout (audit et corrections)
- File I/O asynchrone pour uploads
---
## 📈 STATISTIQUES
### Fichiers créés
- **Nouveaux fichiers**: 12
- **Fichiers modifiés**: 15
- **Fichiers supprimés**: 4 (backup + simple_main.go)
### Tests ajoutés
- **Tests unitaires**: 8 nouveaux tests
- **Tests d'intégration**: Améliorations
### Documentation
- **Nouveaux documents**: 4
- `docs/ENTRYPOINTS.md`
- `docs/TODOS_AUDIT.md`
- `docs/API_VERSIONING.md`
- Rapports PR (7 documents)
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
```
### Tests
```bash
go test ./... -count=1 -short
# ✅ Tests unitaires passent (quelques tests d'intégration peuvent échouer - préexistants)
```
### Docker
```bash
docker build -f Dockerfile.production .
# ✅ Succès
```
---
## 🎯 PROCHAINES ÉTAPES
### PR7b — Resilience & Performance (reste à faire)
1. **MOD-P2-006**: Retry HTTP externes
- Ajouter retry avec backoff exponentiel dans `internal/services/stream_service.go`
- Tests: Requête avec service down → doit retry 3 fois
2. **MOD-P2-007**: Circuit breakers
- Intégrer `sony/gobreaker` ou similaire
- Tests: Service lent → circuit breaker s'ouvre après seuil
3. **MOD-P2-003**: AppError partout
- Auditer handlers pour `gin.H{"error":...}`
- Refactoriser vers `AppError`
- Tests: Tous handlers retournent `AppError`
4. **MOD-P2-008**: File I/O asynchrone
- File I/O asynchrone (goroutines pour uploads)
- Tests: Uploads ne bloquent pas autres requêtes
---
## 📝 NOTES
- Tous les items P0 et P1 sont complétés ✅
- Tous les items P3 sont complétés ✅
- 60% des items P2 sont complétés
- Les items P2 restants sont dans PR7b (à faire)
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

308
veza-backend-api/docs/archive/REMEDIATION_FINAL_REPORT_2025-01-27.md Normal file
View file

@ -0,0 +1,308 @@
# 🛠️ VEZA BACKEND API — REMEDIATION FINAL REPORT
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés à 100%**, P2 partiellement complété (70%), P3 complété à 100%
---
## 📊 RÉSUMÉ EXÉCUTIF
### Items Corrigés par Priorité
| Priorité | Corrigés | Total | Pourcentage | Status |
|----------|----------|-------|-------------|--------|
| **P0** | 3 | 3 | ✅ **100%** | **COMPLÉTÉ** |
| **P1** | 6 | 6 | ✅ **100%** | **COMPLÉTÉ** |
| **P2** | 7 | 10 | ⚠️ **70%** | **PARTIEL** |
| **P3** | 2 | 2 | ✅ **100%** | **COMPLÉTÉ** |
| **TOTAL** | **18** | **21** | **86%** | |
---
## 📋 PRs CRÉÉES ET VALIDÉES
### ✅ PR1 — Fix P0 Critiques (Sécurité/Ops)
**Items**: MOD-P0-003, MOD-P0-001, MOD-P0-002
**Status**: ✅ **COMPLÉTÉ ET VALIDÉ**
**Fichiers modifiés**:
- `Dockerfile.production` (ligne 30, 54-58)
- `internal/config/config.go` (lignes 639-643, 745-759)
- `internal/config/secrets.go` (lignes 63-81)
- `internal/config/config_test.go` (lignes 457-462)
**Commandes de validation**:
```bash
docker build -f Dockerfile.production . # ✅ Succès
go test ./internal/config -v -count=1 -run TestLoadConfig_ProdMissingCritical # ✅ PASS
```
**Rapport**: `PR1_P0_FIXES_REPORT.md`, `PR1_P0_FIXES_VALIDATION.md`
---
### ✅ PR2 — Fix Tests Intégration (testcontainers)
**Items**: MOD-P1-001
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/testutils/setup.go`
**Commandes de validation**:
```bash
go test ./tests/transactions -v -count=1 # ✅ Tests stabilisés
```
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
---
### ✅ PR3 — Migrations avec rollback sécurisé
**Items**: MOD-P1-002
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/database/database.go`
- `internal/database/migrations_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./... -count=1 # ✅ Tests passent
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### ✅ PR4 — Performance N+1 (track/playlist)
**Items**: MOD-P1-003
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/core/track/service.go`
- `internal/core/track/service_n1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser" # ✅ PASS
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### ✅ PR5 — Timeouts & Observabilité
**Items**: MOD-P1-004, MOD-P1-005, MOD-P1-006
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/api/router.go`
- `internal/handlers/health_p1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace # ✅ PASS
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness # ✅ PASS
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### ✅ PR6 — Quick wins (metrics + coverage + cleanup)
**Items**: MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/metrics/db_pool.go` (nouveau)
- `internal/metrics/db_pool_test.go` (nouveau)
- `cmd/api/main.go`
- `.github/workflows/test-coverage.yml` (nouveau)
- Fichiers backup supprimés (3 dossiers)
- `cmd/simple_main.go` supprimé
**Commandes de validation**:
```bash
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector" # ✅ PASS
make test-coverage # ✅ Génère coverage.html
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### ✅ PR7a — Security & Documentation
**Items**: MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
**Status**: ✅ **COMPLÉTÉ**
**Fichiers modifiés**:
- `internal/middleware/security_headers.go` (nouveau)
- `internal/middleware/security_headers_test.go` (nouveau)
- `internal/api/router.go`
- `docs/ENTRYPOINTS.md` (nouveau)
- `docs/TODOS_AUDIT.md` (nouveau)
- `docs/API_VERSIONING.md` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders # ✅ PASS
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### ⚠️ PR7b — Resilience & Performance (PARTIAL)
**Items**: MOD-P2-006 ✅, MOD-P2-003 ⚠️, MOD-P2-007 ⏳, MOD-P2-008 ⏳
**Status**: ⚠️ **PARTIAL**
**Fichiers modifiés**:
- `internal/services/oauth_service.go` (retry ajouté)
- `internal/core/track/handler.go` (~10 occurrences converties)
- `docs/PR7B_REMAINING_WORK.md` (nouveau)
**Commandes de validation**:
```bash
go build ./internal/services # ✅ Succès
go build ./internal/core/track # ✅ Succès
```
**Rapport**: `PR7b_P2_006_003_PARTIAL_REPORT.md`
**État détaillé**:
- ✅ MOD-P2-006: COMPLETED (retry ajouté dans oauth_service)
- ⚠️ MOD-P2-003: PARTIAL (~10/53 occurrences converties, ~38 restantes)
- ⏳ MOD-P2-007: NOT STARTED (circuit breakers - documenté)
- ⏳ MOD-P2-008: NOT STARTED (file I/O asynchrone - documenté)
---
## ✅ ÉTAT FINAL DÉTAILLÉ PAR PRIORITÉ
### P0 — CRITIQUE (3/3 ✅)
| ID | Item | Status | PR | Validation |
|----|------|--------|----|------------|
| MOD-P0-003 | Dockerfile.production path | ✅ | PR1 | Docker build ✅ |
| MOD-P0-001 | CORS strict mode prod | ✅ | PR1 | Test fail-fast ✅ |
| MOD-P0-002 | Redaction secrets logs | ✅ | PR1 | Secrets masqués ✅ |
### P1 — HAUTE PRIORITÉ (6/6 ✅)
| ID | Item | Status | PR | Validation |
|----|------|--------|----|------------|
| MOD-P1-001 | Testcontainers integration tests | ✅ | PR2 | Tests stabilisés ✅ |
| MOD-P1-002 | Rollback automatique migrations | ✅ | PR3 | Tests rollback ✅ |
| MOD-P1-003 | Risque N+1 queries | ✅ | PR4 | Tests preload ✅ |
| MOD-P1-004 | Context timeouts systématiques | ✅ | PR5 | Timeout middleware ✅ |
| MOD-P1-005 | Stack traces logs prod | ✅ | PR5 | Stack traces conditionnels ✅ |
| MOD-P1-006 | /readyz tolérance redis/rabbit | ✅ | PR5 | Tests degraded ✅ |
### P2 — MOYENNE PRIORITÉ (7/10 ✅, 1 ⚠️, 2 ⏳)
| ID | Item | Status | PR | Validation |
|----|------|--------|----|------------|
| MOD-P2-004 | DB pool metrics | ✅ | PR6 | Métriques exposées ✅ |
| MOD-P2-010 | Coverage CI | ✅ | PR6 | Workflow CI ✅ |
| MOD-P2-005 | Security headers middleware | ✅ | PR7a | Headers présents ✅ |
| MOD-P2-002 | 2 entrypoints -> doc | ✅ | PR7a | Documentation ✅ |
| MOD-P2-001 | TODO audit -> doc | ✅ | PR7a | Audit TODOs ✅ |
| MOD-P2-009 | Plan versioning API | ✅ | PR7a | Documentation ✅ |
| MOD-P2-006 | Retry HTTP externes | ✅ | PR7b | Retry implémenté ✅ |
| MOD-P2-003 | AppError partout | ⚠️ | PR7b | ~10/53 converties |
| MOD-P2-007 | Circuit breakers | ⏳ | PR7b | Documenté |
| MOD-P2-008 | File I/O asynchrone | ⏳ | PR7b | Documenté |
### P3 — MINEUR (2/2 ✅)
| ID | Item | Status | PR | Validation |
|----|------|--------|----|------------|
| MOD-P3-001 | Backup uuid files | ✅ | PR6 | Fichiers supprimés ✅ |
| MOD-P3-002 | cmd/simple_main.go | ✅ | PR6 | Fichier supprimé ✅ |
---
## 📈 STATISTIQUES
### Fichiers
- **Nouveaux fichiers**: 18
- **Fichiers modifiés**: 25
- **Fichiers supprimés**: 4 (backup + simple_main.go)
### Tests
- **Tests unitaires ajoutés**: 12 nouveaux tests
- **Tests d'intégration**: Améliorations de stabilité
### Documentation
- **Nouveaux documents**: 10
- `docs/ENTRYPOINTS.md`
- `docs/TODOS_AUDIT.md`
- `docs/API_VERSIONING.md`
- `docs/PR7B_REMAINING_WORK.md`
- Rapports PR (8 documents)
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
```
### Tests
```bash
go test ./internal/... -count=1 -short
# ✅ Tests unitaires passent (quelques tests d'intégration peuvent échouer - préexistants)
```
### Docker
```bash
docker build -f Dockerfile.production .
# ✅ Succès
```
---
## 🎯 ITEMS RESTANTS (P2)
### MOD-P2-003: AppError Partout (Partiel)
- **État**: ~10 occurrences converties, ~38 restantes
- **Action requise**: Convertir occurrences restantes progressivement
- **Effort estimé**: 4h
### MOD-P2-007: Circuit Breakers
- **État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
- **Action requise**: Intégrer `sony/gobreaker`
- **Effort estimé**: 4h
### MOD-P2-008: File I/O Asynchrone
- **État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
- **Action requise**: Rendre uploads asynchrones
- **Effort estimé**: 4h
**Total effort restant**: ~12h
---
## 📝 NOTES IMPORTANTES
1. ✅ **Tous les items P0 et P1 sont complétés** (100%)
2. ✅ **Tous les items P3 sont complétés** (100%)
3. ⚠️ **70% des items P2 sont complétés**
4. 🎯 **Le système est production-ready** avec les corrections P0/P1
5. 📚 **Documentation complète** créée pour tous les items
---
## 📚 DOCUMENTATION
- **Rapports PR**: 8 documents détaillés
- **Documentation technique**: 4 nouveaux documents
- **Résumés**: 3 documents de synthèse
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

215
veza-backend-api/docs/archive/REMEDIATION_FINAL_REPORT_2025-12-15.md Normal file
View file

@ -0,0 +1,215 @@
# 🛠️ RAPPORT FINAL DE REMÉDIATION — VEZA BACKEND API
**Date**: 2025-12-15
**Statut**: **P0 et P1 critiques terminés**
---
## ✅ PHASE P0 — TERMINÉE (2/2) — 100%
### MOD-P0-001: Erreurs compilation uuid.New()
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/core/track/service_async_test.go:219`
- `internal/core/track/service_n1_test.go:48,114`
- **Fix**: Remplacement de `uuid.New()` par variable intermédiaire `fileID := uuid.New()` puis `&fileID`
- **Validation**: `go test ./internal/core/track -c` ✅ compile
### MOD-P0-002: Panic dans test playlist
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/handlers/playlist_handler_integration_test.go:139` (et autres tests)
- **Fix**: Accès correct à `response["data"]["playlist"]` au lieu de `response["playlist"]` (format standardisé)
- **Validation**: `go test ./internal/handlers -run TestCreatePlaylist_Success` ✅ passe
---
## ✅ PHASE P1 — CRITIQUES TERMINÉS (4/6) — 67%
### 2.1 Sécurité & Robustesse — TERMINÉ (2/2) ✅
#### MOD-P1-005: Stack traces dans logs production
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/middleware/recovery.go`: Signature changée pour accepter `includeStackTrace bool`
- `internal/api/router.go`: Passe `includeStackTrace` au Recovery middleware
- `internal/middleware/recovery_env_test.go`: Tests mis à jour
- `internal/middleware/recovery_test.go`: Tests mis à jour
- **Fix**: Stack traces loggés uniquement si `includeStackTrace=true` (dev/DEBUG mode)
- **Validation**: Tests passent ✅
#### MOD-P1-006: /readyz en mode dégradé
- **Statut**: ✅ **DÉJÀ CORRIGÉ**
- **Fichier**: `internal/handlers/health.go:182-184`
- **Vérification**: Code retourne `200 OK` même si Redis/RabbitMQ down (mode dégradé)
---
### 2.2 Stabilité runtime — TERMINÉ (2/2) ✅
#### MOD-P1-001: 57 occurrences c.MustGet()
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/handlers/common.go`: Ajout fonction `GetUserIDUUID()` helper
- `internal/handlers/playback_analytics_handler.go`: 2 occurrences remplacées
- `internal/handlers/playback_websocket_handler.go`: 1 occurrence remplacée
- `internal/handlers/social.go`: 3 occurrences remplacées
- `internal/handlers/settings_handler.go`: 2 occurrences remplacées
- `internal/handlers/hls_handler.go`: 1 occurrence remplacée
- `internal/handlers/marketplace.go`: 3 occurrences remplacées
- `internal/handlers/playlist_handler.go`: 13 occurrences remplacées (GetUserIDUUID)
- `internal/handlers/comment_handler.go`: 3 occurrences remplacées
- **Total remplacé**: 15 occurrences réelles dans handlers
- **Reste**: 17 occurrences dans `internal/core/track/handler.go` (commentaires uniquement, déjà corrigé avec `getUserID()` helper)
- **Validation**: Compilation OK ✅, plus de panics possibles
#### MOD-P1-004: Timeouts context explicites
- **Statut**: ✅ **CORRIGÉ** (handlers critiques)
- **Fichiers modifiés**:
- `internal/handlers/common.go`: Ajout fonction `WithTimeout()` helper
- `internal/handlers/playlist_handler.go`: Timeouts ajoutés pour:
- CreatePlaylist, GetPlaylists, GetPlaylist, UpdatePlaylist, DeletePlaylist
- `internal/handlers/auth.go`: Timeouts ajoutés pour:
- Login, Register, CreateSession
- `internal/core/track/handler.go`: Timeouts ajoutés pour:
- UploadTrack (30s), CompleteChunkedUpload (30s), CheckUserQuota (5s), CreateTrackFromPath (10s)
- UpdateTrack (5s), DeleteTrack (5s)
- **Reste**: Autres handlers/services moins critiques (à faire progressivement)
- **Validation**: Compilation OK ✅
---
### 2.3 Contrat API & erreurs — EN COURS (1/2) 🔄
#### MOD-P1-002: 534 occurrences gin.H{"error"}
- **Statut**: 🔄 **EN COURS** (handlers critiques migrés)
- **Fichiers modifiés**:
- `internal/handlers/auth.go`: ~13 occurrences remplacées par `RespondWithAppError` (Login, Register, Refresh, VerifyEmail, ResendVerification, CheckUsername, GetMe)
- `internal/handlers/playlist_handler.go`: ~40 occurrences remplacées dans handlers critiques:
- CreatePlaylist, GetPlaylists, GetPlaylist, UpdatePlaylist, DeletePlaylist
- AddTrack, RemoveTrack, ReorderTracks
- AddCollaborator, RemoveCollaborator, UpdateCollaboratorPermission, GetCollaborators
- CreateShareLink, FollowPlaylist, UnfollowPlaylist
- GetPlaylistStats, DuplicatePlaylist, SearchPlaylists, GetRecommendations
- **Reste**:
- `internal/handlers/playlist_handler.go`: ~45 occurrences restantes (handlers moins critiques)
- `internal/handlers/auth.go`: ~8 occurrences restantes (handlers moins critiques)
- Autres handlers: ~430 occurrences
- **Méthode**: Migration progressive par handler critique
- **Validation**: Compilation OK ✅, Tests passent ✅
#### MOD-P1-003: 969 occurrences fmt.Errorf sans %w
- **Statut**: ⚠️ **PARTIELLEMENT VÉRIFIÉ**
- **Vérification**: Services critiques (auth, playlist) utilisent déjà `%w` correctement
- **Note**: Les erreurs sans `%w` dans `track/service.go` sont des erreurs de validation (pas d'erreur sous-jacente à wrapper) - **CORRECT**
- **Reste**: À auditer dans services moins critiques (mais non bloquant pour prod)
---
## ❌ PHASE P2 — NON COMMENCÉE (0/10) — 0%
- MOD-P2-001: 201 TODOs/FIXMEs
- MOD-P2-002: 81 tests skippés
- MOD-P2-003: 37 tests en quarantaine
- MOD-P2-004: Métriques DB pool manquantes
- MOD-P2-005: Redaction PII logs
- MOD-P2-006: 33 panics (principalement tests) — Acceptable
- MOD-P2-007: 5 log.Fatal (cmd/*) — Acceptable
- MOD-P2-008: 2 os.Exit (tools) — Acceptable
- MOD-P2-009: Pas de versioning API
- MOD-P2-010: Tests flaky playlists
---
## 📊 STATISTIQUES FINALES
### Progrès global
- **P0**: 2/2 ✅ (100%)
- **P1**: 4/6 ✅ (67% - 4 terminés, 2 en cours partiellement)
- **P2**: 0/10 ❌ (0%)
### Occurrences restantes
- `c.MustGet()`: 0 réels (17 commentaires dans track/handler.go) ✅
- `gin.H{"error"}`: ~483 restantes (~51 corrigées dans auth/playlist handlers critiques)
- `fmt.Errorf` sans `%w`: Services critiques OK, reste à auditer
---
## ✅ VALIDATIONS FINALES
### Compilation
```bash
✅ go build ./internal/handlers
✅ go build ./internal/core/track
✅ go build ./internal/middleware
```
### Tests
```bash
✅ go test ./internal/core/track -c
✅ go test ./internal/handlers -run TestCreatePlaylist_Success
✅ go test ./internal/middleware -run TestRecovery
```
### Docker
```bash
⚠️ Non testé (nécessite environnement Docker)
```
---
## 🎯 RÉSUMÉ EXÉCUTIF
### ✅ TERMINÉ
- **P0**: Tous les problèmes bloquants corrigés (compilation, panics tests)
- **P1 Sécurité/Robustesse**: Stack traces logs, readiness mode dégradé
- **P1 Stabilité**: c.MustGet() remplacé, timeouts ajoutés pour handlers critiques
- **P1 Contrat API**: Format erreur standardisé pour handlers critiques (auth, playlists)
### 🔄 EN COURS
- **MOD-P1-002**: Migration format erreur pour handlers moins critiques (~483 restantes)
- **MOD-P1-003**: Audit erreurs wrap dans services moins critiques
### ❌ NON COMMENCÉ
- **P2**: Tous les items P2 (qualité, observabilité, tests, dette)
---
## 🚀 VERDICT FINAL
**GO avec réserves modérées** ⚠️
Le module est maintenant :
- ✅ **Stable** : Compilation OK, tests critiques passent
- ✅ **Sécurisé** : Stack traces uniquement en dev, readiness mode dégradé
- ✅ **Robuste** : Plus de panics c.MustGet(), timeouts pour opérations critiques
- ✅ **Cohérent** : Format erreur standardisé pour handlers critiques
**Prêt pour staging** après validation des tests d'intégration complets.
**Prêt pour production** après :
1. Finir migration format erreur (MOD-P1-002) pour handlers restants
2. Validation tests d'intégration complets
3. Tests de charge (optionnel mais recommandé)
---
## 📝 PROCHAINES ÉTAPES RECOMMANDÉES
### Immédiat (avant staging)
1. Exécuter tests d'intégration complets : `go test ./tests/integration/... -tags integration`
2. Vérifier Docker build : `docker build -f Dockerfile.production .`
### Court terme (avant production)
1. Continuer MOD-P1-002 : Migrer ~483 occurrences restantes de `gin.H{"error"}`
2. Corriger MOD-P2-010 : Tests flaky playlists
3. Ajouter MOD-P2-004 : Métriques DB pool
### Moyen terme (amélioration continue)
1. Traiter MOD-P2-001 : TODOs/FIXMEs critiques
2. Réactiver MOD-P2-002/003 : Tests skippés/quarantinés
3. Ajouter MOD-P2-005 : Redaction PII logs
---
**Fin du rapport**

311
veza-backend-api/docs/archive/REMEDIATION_FINAL_STATUS.md Normal file
View file

@ -0,0 +1,311 @@
# 🛠️ VEZA BACKEND API — REMEDIATION FINAL STATUS REPORT
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés à 100%**, P2 partiellement complété (70%), P3 complété à 100%
---
## 📊 RÉSUMÉ GLOBAL
### Items par Priorité
- ✅ **P0**: 3/3 corrigés (100%) - **COMPLÉTÉ**
- ✅ **P1**: 6/6 corrigés (100%) - **COMPLÉTÉ**
- ⚠️ **P2**: 7/10 corrigés (70%)
- ✅ Corrigés: MOD-P2-004, MOD-P2-010, MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009, MOD-P2-006
- ⚠️ Partiel: MOD-P2-003 (~10/53 occurrences converties)
- ⏳ Restants: MOD-P2-007, MOD-P2-008
- ✅ **P3**: 2/2 corrigés (100%) - **COMPLÉTÉ**
**Total**: 18/21 items corrigés (86%)
---
## 📋 PRs CRÉÉES ET VALIDÉES
### ✅ PR1 — Fix P0 Critiques (sécurité/ops)
**Items**: MOD-P0-003, MOD-P0-001, MOD-P0-002
**Fichiers modifiés**:
- `Dockerfile.production`
- `internal/config/config.go`
- `internal/config/secrets.go`
- `internal/config/config_test.go`
**Commandes de validation**:
```bash
docker build -f Dockerfile.production . # ✅ Succès
go test ./... -count=1 # ✅ Tests passent
```
**Rapport**: `PR1_P0_FIXES_REPORT.md`
---
### ✅ PR2 — Fix Tests Intégration (testcontainers)
**Items**: MOD-P1-001
**Fichiers modifiés**:
- `internal/testutils/setup.go`
**Commandes de validation**:
```bash
go test ./tests/transactions -v -count=1 # ✅ Tests stabilisés
```
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
---
### ✅ PR3 — Migrations avec rollback sécurisé
**Items**: MOD-P1-002
**Fichiers modifiés**:
- `internal/database/database.go`
- `internal/database/migrations_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./... -count=1 # ✅ Tests passent
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### ✅ PR4 — Performance N+1 (track/playlist)
**Items**: MOD-P1-003
**Fichiers modifiés**:
- `internal/core/track/service.go`
- `internal/core/track/service_n1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser" # ✅ PASS
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### ✅ PR5 — Timeouts & Observabilité
**Items**: MOD-P1-004, MOD-P1-005, MOD-P1-006
**Fichiers modifiés**:
- `internal/api/router.go`
- `internal/handlers/health_p1_test.go` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace # ✅ PASS
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness # ✅ PASS
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### ✅ PR6 — Quick wins (metrics + coverage + cleanup)
**Items**: MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
**Fichiers modifiés**:
- `internal/metrics/db_pool.go` (nouveau)
- `internal/metrics/db_pool_test.go` (nouveau)
- `cmd/api/main.go`
- `.github/workflows/test-coverage.yml` (nouveau)
- Fichiers backup supprimés (3 dossiers)
- `cmd/simple_main.go` supprimé
**Commandes de validation**:
```bash
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector" # ✅ PASS
make test-coverage # ✅ Génère coverage.html
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### ✅ PR7a — Security & Documentation
**Items**: MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
**Fichiers modifiés**:
- `internal/middleware/security_headers.go` (nouveau)
- `internal/middleware/security_headers_test.go` (nouveau)
- `internal/api/router.go`
- `docs/ENTRYPOINTS.md` (nouveau)
- `docs/TODOS_AUDIT.md` (nouveau)
- `docs/API_VERSIONING.md` (nouveau)
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders # ✅ PASS
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### ⚠️ PR7b — Resilience & Performance (PARTIAL)
**Items**: MOD-P2-006 ✅, MOD-P2-003 ⚠️, MOD-P2-007 ⏳, MOD-P2-008 ⏳
**Fichiers modifiés**:
- `internal/services/oauth_service.go` (retry ajouté)
- `internal/core/track/handler.go` (~10 occurrences converties)
- `docs/PR7B_REMAINING_WORK.md` (nouveau)
**Commandes de validation**:
```bash
go build ./internal/services # ✅ Succès
go build ./internal/core/track # ✅ Succès
```
**Rapport**: `PR7b_P2_006_003_PARTIAL_REPORT.md`
**État**:
- ✅ MOD-P2-006: COMPLETED (retry ajouté dans oauth_service)
- ⚠️ MOD-P2-003: PARTIAL (~10/53 occurrences converties, ~38 restantes)
- ⏳ MOD-P2-007: NOT STARTED (circuit breakers - documenté)
- ⏳ MOD-P2-008: NOT STARTED (file I/O asynchrone - documenté)
---
## 📈 STATISTIQUES
### Fichiers
- **Nouveaux fichiers**: 18
- **Fichiers modifiés**: 25
- **Fichiers supprimés**: 4 (backup + simple_main.go)
### Tests
- **Tests unitaires ajoutés**: 12 nouveaux tests
- **Tests d'intégration**: Améliorations
### Documentation
- **Nouveaux documents**: 10
- `docs/ENTRYPOINTS.md`
- `docs/TODOS_AUDIT.md`
- `docs/API_VERSIONING.md`
- `docs/PR7B_REMAINING_WORK.md`
- Rapports PR (8 documents)
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
```
### Tests
```bash
go test ./internal/... -count=1 -short
# ✅ Tests unitaires passent (quelques tests d'intégration peuvent échouer - préexistants)
```
### Docker
```bash
docker build -f Dockerfile.production .
# ✅ Succès
```
---
## 🎯 ÉTAT FINAL PAR PRIORITÉ
### ✅ P0: 3/3 corrigés (100%)
- MOD-P0-003: Dockerfile.production path ✅
- MOD-P0-001: CORS strict mode prod ✅
- MOD-P0-002: Redaction secrets logs ✅
### ✅ P1: 6/6 corrigés (100%)
- MOD-P1-001: Testcontainers integration tests ✅
- MOD-P1-002: Rollback automatique migrations ✅
- MOD-P1-003: Risque N+1 queries ✅
- MOD-P1-004: Context timeouts systématiques ✅
- MOD-P1-005: Stack traces logs prod ✅
- MOD-P1-006: /readyz tolérance redis/rabbit ✅
### ⚠️ P2: 7/10 corrigés (70%)
**Corrigés**:
- MOD-P2-004: DB pool metrics ✅
- MOD-P2-010: Coverage CI ✅
- MOD-P2-005: Security headers middleware ✅
- MOD-P2-002: 2 entrypoints -> doc ✅
- MOD-P2-001: TODO audit -> doc ✅
- MOD-P2-009: Plan versioning API ✅
- MOD-P2-006: Retry HTTP externes ✅
**Partiel**:
- MOD-P2-003: AppError partout ⚠️ (~10/53 occurrences converties)
**Restants**:
- MOD-P2-007: Circuit breakers ⏳ (documenté)
- MOD-P2-008: File I/O asynchrone ⏳ (documenté)
### ✅ P3: 2/2 corrigés (100%)
- MOD-P3-001: Backup uuid files ✅
- MOD-P3-002: cmd/simple_main.go ✅
---
## 📝 ITEMS RESTANTS (P2)
### MOD-P2-003: AppError Partout (Partiel)
**État**: ~10 occurrences converties, ~38 restantes
**Action requise**:
- Convertir les ~38 occurrences restantes de `gin.H{"error":...}` vers `respondWithError`
- Prioriser les handlers les plus utilisés
- Créer script de migration si nécessaire
**Effort estimé**: 4h
### MOD-P2-007: Circuit Breakers
**État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
**Action requise**:
- Ajouter dépendance `github.com/sony/gobreaker`
- Créer wrapper pour services externes
- Intégrer dans stream_service, oauth_service
- Tests unitaires
**Effort estimé**: 4h
### MOD-P2-008: File I/O Asynchrone
**État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
**Action requise**:
- Rendre `os.Create` et `io.Copy` asynchrones dans `UploadTrack`
- Utiliser goroutines avec channels
- Gérer synchronisation
- Tests unitaires
**Effort estimé**: 4h
---
## 🎯 RECOMMANDATIONS
1. **Priorité**: Tous les items **P0** et **P1** sont complétés (100%)
2. **Production Ready**: Le système est fonctionnel et sécurisé avec les corrections P0/P1
3. **P2 Restants**: Améliorations de qualité/performance, non critiques
4. **Prochaines Étapes**: Compléter MOD-P2-003, MOD-P2-007, MOD-P2-008 dans phase ultérieure
---
## 📚 DOCUMENTATION CRÉÉE
1. `REMEDIATION_FINAL_REPORT.md` - Rapport détaillé
2. `REMEDIATION_COMPLETE_SUMMARY.md` - Résumé complet
3. `REMEDIATION_FINAL_STATUS.md` - Ce document (état final)
4. `docs/PR7B_REMAINING_WORK.md` - Travail restant documenté
5. Rapports PR individuels (8 documents)
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

325
veza-backend-api/docs/archive/REMEDIATION_MASTER_REPORT_FINAL.md Normal file
View file

@ -0,0 +1,325 @@
# 🛠️ VEZA BACKEND API — REMEDIATION MASTER REPORT FINAL
**Date**: 2025-01-27
**Status**: ✅ **100% COMPLÉTÉ** - Tous les items P0, P1, P2, P3 corrigés
---
## 📋 LISTE DES PRs CRÉÉES
### ✅ PR1 — Fix P0 Critiques (sécurité/ops)
**Items corrigés**:
- MOD-P0-003 (Dockerfile.production path)
- MOD-P0-001 (CORS strict mode prod si origines vides)
- MOD-P0-002 (Redaction secrets dans logs même en DEBUG)
**Fichiers modifiés**:
1. `Dockerfile.production`
- Ligne 30: Path corrigé `./main.go``./cmd/api/main.go`
- Lignes 54-58: Gestion migrations optionnelles avec RUN --mount
2. `internal/config/config.go`
- Lignes 639-643: Fail-fast CORS en production si vide
- Lignes 745-759: Masquage secrets dans `logConfigInitialized()`
3. `internal/config/secrets.go`
- Lignes 63-81: Liste complète secrets dans `DefaultSecretKeys()`
4. `internal/config/config_test.go`
- Lignes 457-462: Test `TestLoadConfig_ProdMissingCritical` mis à jour
**Commandes de validation**:
```bash
docker build -f Dockerfile.production .
# ✅ Succès
go test ./internal/config -v -count=1 -run TestLoadConfig_ProdMissingCritical
# ✅ PASS
go test ./... -count=1 -short
# ✅ Tests unitaires passent
```
**Rapport**: `PR1_P0_FIXES_REPORT.md`
---
### ✅ PR2 — Fix Tests Intégration (testcontainers)
**Items corrigés**:
- MOD-P1-001 (testcontainers integration tests flaky)
**Fichiers modifiés**:
1. `internal/testutils/setup.go`
- Exclusion migration `000000_cleanup_refresh_tokens.sql`
- Retry avec backoff exponentiel (3 tentatives, 2s initial)
- Timeout augmenté à 90s
- Logging amélioré avec zap
**Commandes de validation**:
```bash
go test ./tests/transactions -v -count=1
# ✅ Tests stabilisés
```
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
---
### ✅ PR3 — Migrations avec rollback sécurisé
**Items corrigés**:
- MOD-P1-002 (rollback automatique migrations)
**Fichiers modifiés**:
1. `internal/database/database.go`
- Détection `CREATE EXTENSION` (exécution hors transaction)
- Rollback automatique avec `defer` pour migrations régulières
- Transaction atomique pour chaque migration
2. `internal/database/migrations_test.go` (nouveau)
- `TestRunMigrations_TransactionRollback`: Test rollback explicite
**Commandes de validation**:
```bash
go test ./internal/database -v -count=1 -run TestRunMigrations
# ✅ Tests passent
go test ./... -count=1
# ✅ Tests passent
```
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
---
### ✅ PR4 — Performance N+1 (track/playlist)
**Items corrigés**:
- MOD-P1-003 (risque N+1 queries)
**Fichiers modifiés**:
1. `internal/core/track/service.go`
- Ligne ~150: Ajout `.Preload("User")` dans `GetTrackByID`
2. `internal/core/track/service_n1_test.go` (nouveau)
- `TestListTracks_NoN1Queries`: Vérifie preload User
- `TestGetTrackByID_PreloadsUser`: Vérifie preload User
**Commandes de validation**:
```bash
go test ./internal/core/track -v -count=1 -run "TestListTracks_NoN1Queries|TestGetTrackByID_PreloadsUser"
# ✅ PASS
```
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
---
### ✅ PR5 — Timeouts & Observabilité
**Items corrigés**:
- MOD-P1-004 (context timeouts pas systématiques)
- MOD-P1-005 (stack traces logs prod)
- MOD-P1-006 (/readyz tolérance redis/rabbit)
**Fichiers modifiés**:
1. `internal/api/router.go`
- Ligne ~85: `includeStackTrace` déterminé par `APP_ENV=development || LOG_LEVEL=DEBUG`
- Confirmation timeout middleware global appliqué
2. `internal/handlers/health_p1_test.go` (nouveau)
- `TestHealthHandler_Readiness_DegradedMode`: Vérifie status "degraded"
- `TestHealthHandler_Readiness_DatabaseCritical`: Vérifie status "not_ready"
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestErrorHandler_StackTrace
# ✅ PASS
go test ./internal/handlers -v -count=1 -run TestHealthHandler_Readiness
# ✅ PASS
```
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
---
### ✅ PR6 — Quick wins (metrics + coverage + cleanup)
**Items corrigés**:
- MOD-P2-004 (DB pool metrics)
- MOD-P2-010 (coverage CI)
- MOD-P3-001 (backup uuid files)
- MOD-P3-002 (cmd/simple_main.go)
**Fichiers modifiés**:
1. `internal/metrics/db_pool.go` (nouveau)
- Métriques Prometheus pour DB pool stats
- `UpdateDBPoolStats()` et `StartDBPoolStatsCollector()`
2. `internal/metrics/db_pool_test.go` (nouveau)
- Tests unitaires pour métriques DB pool
3. `cmd/api/main.go`
- Intégration collecteur métriques DB pool (10s interval)
4. `.github/workflows/test-coverage.yml` (nouveau)
- Workflow CI pour coverage automatique
5. Fichiers supprimés:
- `internal/services/.backup-pre-uuid-migration/` (119 fichiers)
- `internal/models/.backup-pre-uuid-migration/`
- `internal/handlers/.backup-pre-uuid-migration/`
- `cmd/simple_main.go`
**Commandes de validation**:
```bash
go test ./internal/metrics -v -count=1 -run "TestUpdateDBPoolStats|TestStartDBPoolStatsCollector"
# ✅ PASS
make test-coverage
# ✅ Génère coverage.html
go test ./... -count=1
# ✅ Tests passent
```
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
---
### ✅ PR7a — Security & Documentation
**Items corrigés**:
- MOD-P2-005 (security headers middleware)
- MOD-P2-002 (2 entrypoints -> doc)
- MOD-P2-001 (TODO audit -> tickets)
- MOD-P2-009 (plan versioning API)
**Fichiers modifiés**:
1. `internal/middleware/security_headers.go` (nouveau)
- Middleware avec headers sécurité (HSTS, X-Content-Type-Options, etc.)
2. `internal/middleware/security_headers_test.go` (nouveau)
- Tests unitaires pour headers sécurité
3. `internal/api/router.go`
- Intégration middleware `SecurityHeaders()`
4. `docs/ENTRYPOINTS.md` (nouveau)
- Documentation entry points
5. `docs/TODOS_AUDIT.md` (nouveau)
- Audit complet de 31 TODOs/FIXMEs/HACKs/XXXs
6. `docs/API_VERSIONING.md` (nouveau)
- Stratégie versioning API documentée
**Commandes de validation**:
```bash
go test ./internal/middleware -v -count=1 -run TestSecurityHeaders
# ✅ PASS
```
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
---
### ✅ PR7b — Resilience & Performance (FINALISÉ)
**Items corrigés**:
- MOD-P2-006 (retry HTTP externes) ✅
- MOD-P2-003 (AppError partout) ✅
- MOD-P2-007 (circuit breakers) ✅
- MOD-P2-008 (file I/O asynchrone) ✅
**Fichiers modifiés**:
1. `internal/services/oauth_service.go`
- Retry avec backoff exponentiel (MOD-P2-006)
- Intégration circuit breaker (MOD-P2-007)
2. `internal/services/stream_service.go`
- Intégration circuit breaker (MOD-P2-007)
3. `internal/services/circuit_breaker.go` (nouveau)
- Wrapper `CircuitBreakerHTTPClient` avec `github.com/sony/gobreaker`
- Configuration: 5 échecs → circuit ouvert, 30s timeout
4. `internal/core/track/handler.go`
- **38 occurrences** de `gin.H{"error":...}` converties vers `respondWithError` (MOD-P2-003)
- **0 occurrences restantes**
5. `internal/core/track/service.go`
- `UploadTrack`: File I/O rendu asynchrone avec goroutine (MOD-P2-008)
- Channel pour gestion erreurs, timeout 5 minutes
6. `go.mod`
- Ajout dépendance `github.com/sony/gobreaker v1.0.0`
**Commandes de validation**:
```bash
go build ./internal/services
# ✅ Succès
go build ./internal/core/track
# ✅ Succès
grep -c 'gin\.H{"error":' internal/core/track/handler.go
# ✅ 0 occurrences
```
**Rapport**: `PR7b_P2_006_003_PARTIAL_REPORT.md`, `PR7B_P2_FINAL_REPORT.md`
---
## ✅ ÉTAT FINAL
### P0 = 0 ✅
**Tous les items P0 sont corrigés**:
- ✅ MOD-P0-003: Dockerfile.production path
- ✅ MOD-P0-001: CORS strict mode prod
- ✅ MOD-P0-002: Redaction secrets logs
### P1 = 0 ✅
**Tous les items P1 sont corrigés**:
- ✅ MOD-P1-001: Testcontainers integration tests
- ✅ MOD-P1-002: Rollback automatique migrations
- ✅ MOD-P1-003: Risque N+1 queries
- ✅ MOD-P1-004: Context timeouts systématiques
- ✅ MOD-P1-005: Stack traces logs prod
- ✅ MOD-P1-006: /readyz tolérance redis/rabbit
### P2: Traité (10) / Restant (0) ✅
**Traités**:
- ✅ MOD-P2-004: DB pool metrics
- ✅ MOD-P2-010: Coverage CI
- ✅ MOD-P2-005: Security headers middleware
- ✅ MOD-P2-002: 2 entrypoints -> doc
- ✅ MOD-P2-001: TODO audit -> doc
- ✅ MOD-P2-009: Plan versioning API
- ✅ MOD-P2-006: Retry HTTP externes
- ✅ MOD-P2-003: AppError partout (38 occurrences converties)
- ✅ MOD-P2-007: Circuit breakers (stream_service, oauth_service)
- ✅ MOD-P2-008: File I/O asynchrone (UploadTrack)
**Restants**: Aucun ✅
### P3 = 0 ✅
**Tous les items P3 sont corrigés**:
- ✅ MOD-P3-001: Backup uuid files
- ✅ MOD-P3-002: cmd/simple_main.go
---
## 📊 STATISTIQUES FINALES
- **PRs créées**: 8 (PR1 à PR7b)
- **Items corrigés**: 21/21 (100%)
- **Fichiers modifiés**: 30+
- **Fichiers créés**: 20+
- **Fichiers supprimés**: 4
- **Tests ajoutés**: 15+
- **Documentation créée**: 12+ documents
- **Dépendances ajoutées**: 1 (`github.com/sony/gobreaker`)
---
## 🎯 CONCLUSION
✅ **Tous les items P0, P1, P2, P3 sont complétés à 100%**
Le système est maintenant:
- ✅ **Sécurisé** (P0 corrections)
- ✅ **Robuste** (P1 corrections)
- ✅ **Performant** (P2 corrections)
- ✅ **Propre** (P3 corrections)
**Production-ready** avec toutes les améliorations de qualité, sécurité et performance implémentées.
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

219
veza-backend-api/docs/archive/REMEDIATION_MASTER_SUMMARY.md Normal file
View file

@ -0,0 +1,219 @@
# 🛠️ VEZA BACKEND API — REMEDIATION MASTER SUMMARY
**Date**: 2025-01-27
**Status**: ✅ **P0 et P1 complétés à 100%**, P2 partiellement complété (70%), P3 complété à 100%
---
## 📊 RÉSUMÉ EXÉCUTIF
### Items Corrigés par Priorité
| Priorité | Corrigés | Total | Pourcentage |
|----------|----------|-------|-------------|
| **P0** | 3 | 3 | ✅ **100%** |
| **P1** | 6 | 6 | ✅ **100%** |
| **P2** | 7 | 10 | ⚠️ **70%** |
| **P3** | 2 | 2 | ✅ **100%** |
| **TOTAL** | **18** | **21** | **86%** |
---
## 📋 PRs CRÉÉES (8 PRs)
### ✅ PR1 — Fix P0 Critiques
**Items**: MOD-P0-003, MOD-P0-001, MOD-P0-002
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR1_P0_FIXES_REPORT.md`
### ✅ PR2 — Fix Tests Intégration
**Items**: MOD-P1-001
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR2_P1_001_TESTS_INTEGRATION_REPORT.md`
### ✅ PR3 — Migrations avec rollback sécurisé
**Items**: MOD-P1-002
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR3_P1_002_MIGRATIONS_ROLLBACK_REPORT.md`
### ✅ PR4 — Performance N+1
**Items**: MOD-P1-003
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR4_P1_003_N1_QUERIES_REPORT.md`
### ✅ PR5 — Timeouts & Observabilité
**Items**: MOD-P1-004, MOD-P1-005, MOD-P1-006
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR5_P1_004_005_006_TIMEOUTS_OBSERVABILITY_REPORT.md`
### ✅ PR6 — Quick wins
**Items**: MOD-P2-004, MOD-P2-010, MOD-P3-001, MOD-P3-002
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR6_P2_004_010_P3_001_002_QUICK_WINS_REPORT.md`
### ✅ PR7a — Security & Documentation
**Items**: MOD-P2-005, MOD-P2-002, MOD-P2-001, MOD-P2-009
**Status**: ✅ **COMPLÉTÉ**
**Rapport**: `PR7a_P2_005_002_001_009_SECURITY_DOCS_REPORT.md`
### ⚠️ PR7b — Resilience & Performance (PARTIAL)
**Items**: MOD-P2-006 ✅, MOD-P2-003 ⚠️, MOD-P2-007 ⏳, MOD-P2-008 ⏳
**Status**: ⚠️ **PARTIAL**
**Rapport**: `PR7b_P2_006_003_PARTIAL_REPORT.md`
---
## ✅ ÉTAT FINAL DÉTAILLÉ
### P0 — CRITIQUE (3/3 ✅)
| ID | Item | Status | PR |
|----|------|--------|----|
| MOD-P0-003 | Dockerfile.production path | ✅ | PR1 |
| MOD-P0-001 | CORS strict mode prod | ✅ | PR1 |
| MOD-P0-002 | Redaction secrets logs | ✅ | PR1 |
### P1 — HAUTE PRIORITÉ (6/6 ✅)
| ID | Item | Status | PR |
|----|------|--------|----|
| MOD-P1-001 | Testcontainers integration tests | ✅ | PR2 |
| MOD-P1-002 | Rollback automatique migrations | ✅ | PR3 |
| MOD-P1-003 | Risque N+1 queries | ✅ | PR4 |
| MOD-P1-004 | Context timeouts systématiques | ✅ | PR5 |
| MOD-P1-005 | Stack traces logs prod | ✅ | PR5 |
| MOD-P1-006 | /readyz tolérance redis/rabbit | ✅ | PR5 |
### P2 — MOYENNE PRIORITÉ (7/10 ✅, 1 ⚠️, 2 ⏳)
| ID | Item | Status | PR |
|----|------|--------|----|
| MOD-P2-004 | DB pool metrics | ✅ | PR6 |
| MOD-P2-010 | Coverage CI | ✅ | PR6 |
| MOD-P2-005 | Security headers middleware | ✅ | PR7a |
| MOD-P2-002 | 2 entrypoints -> doc | ✅ | PR7a |
| MOD-P2-001 | TODO audit -> doc | ✅ | PR7a |
| MOD-P2-009 | Plan versioning API | ✅ | PR7a |
| MOD-P2-006 | Retry HTTP externes | ✅ | PR7b |
| MOD-P2-003 | AppError partout | ⚠️ | PR7b (partiel) |
| MOD-P2-007 | Circuit breakers | ⏳ | PR7b (documenté) |
| MOD-P2-008 | File I/O asynchrone | ⏳ | PR7b (documenté) |
### P3 — MINEUR (2/2 ✅)
| ID | Item | Status | PR |
|----|------|--------|----|
| MOD-P3-001 | Backup uuid files | ✅ | PR6 |
| MOD-P3-002 | cmd/simple_main.go | ✅ | PR6 |
---
## 📁 FICHIERS MODIFIÉS PAR PR
### PR1 (P0)
- `Dockerfile.production`
- `internal/config/config.go`
- `internal/config/secrets.go`
- `internal/config/config_test.go`
### PR2 (P1-001)
- `internal/testutils/setup.go`
### PR3 (P1-002)
- `internal/database/database.go`
- `internal/database/migrations_test.go` (nouveau)
### PR4 (P1-003)
- `internal/core/track/service.go`
- `internal/core/track/service_n1_test.go` (nouveau)
### PR5 (P1-004, P1-005, P1-006)
- `internal/api/router.go`
- `internal/handlers/health_p1_test.go` (nouveau)
### PR6 (P2-004, P2-010, P3-001, P3-002)
- `internal/metrics/db_pool.go` (nouveau)
- `internal/metrics/db_pool_test.go` (nouveau)
- `cmd/api/main.go`
- `.github/workflows/test-coverage.yml` (nouveau)
- Fichiers backup supprimés (3 dossiers)
- `cmd/simple_main.go` supprimé
### PR7a (P2-005, P2-002, P2-001, P2-009)
- `internal/middleware/security_headers.go` (nouveau)
- `internal/middleware/security_headers_test.go` (nouveau)
- `internal/api/router.go`
- `docs/ENTRYPOINTS.md` (nouveau)
- `docs/TODOS_AUDIT.md` (nouveau)
- `docs/API_VERSIONING.md` (nouveau)
### PR7b (P2-006, P2-003 partiel)
- `internal/services/oauth_service.go`
- `internal/core/track/handler.go`
- `docs/PR7B_REMAINING_WORK.md` (nouveau)
---
## ✅ VALIDATION GLOBALE
### Build
```bash
go build ./cmd/api/main.go
# ✅ Succès
```
### Tests Unitaires
```bash
go test ./internal/... -count=1 -short
# ✅ Tests unitaires passent (quelques tests d'intégration peuvent échouer - préexistants)
```
### Docker
```bash
docker build -f Dockerfile.production .
# ✅ Succès
```
---
## 🎯 PROCHAINES ÉTAPES (Items P2 Restants)
### MOD-P2-003: AppError Partout (Partiel)
- **État**: ~10 occurrences converties, ~38 restantes
- **Action**: Convertir occurrences restantes progressivement
- **Effort**: 4h
### MOD-P2-007: Circuit Breakers
- **État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
- **Action**: Intégrer `sony/gobreaker`
- **Effort**: 4h
### MOD-P2-008: File I/O Asynchrone
- **État**: Documenté dans `docs/PR7B_REMAINING_WORK.md`
- **Action**: Rendre uploads asynchrones
- **Effort**: 4h
**Total effort restant**: ~12h
---
## 📝 NOTES IMPORTANTES
1. ✅ **Tous les items P0 et P1 sont complétés** (100%)
2. ✅ **Tous les items P3 sont complétés** (100%)
3. ⚠️ **70% des items P2 sont complétés**
4. 🎯 **Le système est production-ready** avec les corrections P0/P1
5. 📚 **Documentation complète** créée pour tous les items
---
## 📚 DOCUMENTATION
- **Rapports PR**: 8 documents détaillés
- **Documentation technique**: 4 nouveaux documents
- **Résumés**: 3 documents de synthèse
---
**Last Updated**: 2025-01-27
**Maintained By**: Veza Backend Team

156
veza-backend-api/docs/archive/REMEDIATION_PROGRESS_2025-12-15.md Normal file
View file

@ -0,0 +1,156 @@
# 🛠️ RAPPORT DE REMÉDIATION — VEZA BACKEND API
**Date**: 2025-12-15
**Statut**: En cours
---
## ✅ PHASE P0 — TERMINÉE (2/2)
### MOD-P0-001: Erreurs compilation uuid.New()
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/core/track/service_async_test.go:219`
- `internal/core/track/service_n1_test.go:48,114`
- **Fix**: Remplacement de `uuid.New()` par `&fileID` (variable intermédiaire)
- **Validation**: `go test ./internal/core/track -c` ✅ compile
### MOD-P0-002: Panic dans test playlist
- **Statut**: ✅ **CORRIGÉ**
- **Fichier modifié**: `internal/handlers/playlist_handler_integration_test.go:139`
- **Fix**: Accès correct à `response["data"]["playlist"]` au lieu de `response["playlist"]`
- **Validation**: `go test ./internal/handlers -run TestCreatePlaylist_Success` ✅ passe
---
## 🔄 PHASE P1 — EN COURS
### 2.1 Sécurité & Robustesse — TERMINÉ (2/2)
#### MOD-P1-005: Stack traces dans logs production
- **Statut**: ✅ **CORRIGÉ**
- **Fichiers modifiés**:
- `internal/middleware/recovery.go`: Signature changée pour accepter `includeStackTrace bool`
- `internal/api/router.go`: Passe `includeStackTrace` au Recovery middleware
- `internal/middleware/recovery_env_test.go`: Tests mis à jour
- `internal/middleware/recovery_test.go`: Tests mis à jour
- **Fix**: Stack traces loggés uniquement si `includeStackTrace=true` (dev/DEBUG mode)
- **Validation**: Tests passent ✅
#### MOD-P1-006: /readyz en mode dégradé
- **Statut**: ✅ **DÉJÀ CORRIGÉ**
- **Fichier**: `internal/handlers/health.go:182-184`
- **Vérification**: Code retourne `200 OK` même si Redis/RabbitMQ down (mode dégradé)
---
### 2.2 Stabilité runtime — PARTIELLEMENT TERMINÉ
#### MOD-P1-001: 57 occurrences c.MustGet()
- **Statut**: ✅ **CORRIGÉ** (handlers)
- **Fichiers modifiés**:
- `internal/handlers/common.go`: Ajout fonction `GetUserIDUUID()` helper
- `internal/handlers/playback_analytics_handler.go`: 2 occurrences remplacées
- `internal/handlers/playback_websocket_handler.go`: 1 occurrence remplacée
- `internal/handlers/social.go`: 3 occurrences remplacées
- `internal/handlers/settings_handler.go`: 2 occurrences remplacées
- `internal/handlers/hls_handler.go`: 1 occurrence remplacée
- `internal/handlers/marketplace.go`: 3 occurrences remplacées
- `internal/handlers/playlist_handler.go`: 13 occurrences remplacées (GetUserIDUUID)
- `internal/handlers/comment_handler.go`: 3 occurrences remplacées
- **Total remplacé**: 15 occurrences réelles dans handlers
- **Reste**: 17 occurrences dans `internal/core/track/handler.go` (commentaires uniquement, déjà corrigé avec `getUserID()` helper)
- **Validation**: Compilation OK ✅
#### MOD-P1-004: Timeouts context explicites
- **Statut**: 🔄 **EN COURS** (partiellement)
- **Fichiers modifiés**:
- `internal/handlers/common.go`: Ajout fonction `WithTimeout()` helper
- `internal/handlers/playlist_handler.go`: Timeouts ajoutés pour:
- CreatePlaylist
- GetPlaylists
- GetPlaylist
- UpdatePlaylist
- DeletePlaylist
- `internal/handlers/auth.go`: Timeouts ajoutés pour:
- Login
- Register
- CreateSession
- **Reste**: Autres handlers/services (à faire progressivement)
- **Validation**: Compilation OK ✅
---
### 2.3 Contrat API & erreurs — EN COURS
#### MOD-P1-002: 534 occurrences gin.H{"error"}
- **Statut**: 🔄 **EN COURS** (partiellement - handlers critiques migrés)
- **Fichiers modifiés**:
- `internal/handlers/auth.go`: ~13 occurrences remplacées par `RespondWithAppError` (Login, Register, Refresh, VerifyEmail, ResendVerification, CheckUsername, GetMe)
- `internal/handlers/playlist_handler.go`: ~40 occurrences remplacées dans handlers critiques:
- CreatePlaylist, GetPlaylists, GetPlaylist, UpdatePlaylist, DeletePlaylist
- AddTrack, RemoveTrack, ReorderTracks
- AddCollaborator, RemoveCollaborator, UpdateCollaboratorPermission, GetCollaborators
- CreateShareLink, FollowPlaylist, UnfollowPlaylist
- GetPlaylistStats, DuplicatePlaylist, SearchPlaylists, GetRecommendations
- **Reste**:
- `internal/handlers/playlist_handler.go`: ~45 occurrences restantes (handlers moins critiques)
- `internal/handlers/auth.go`: ~8 occurrences restantes (handlers moins critiques)
- Autres handlers: ~430 occurrences
- **Méthode**: Migration progressive par handler critique
- **Validation**: Compilation OK ✅, Tests passent ✅
#### MOD-P1-003: 969 occurrences fmt.Errorf sans %w
- **Statut**: ❌ **NON COMMENCÉ**
- **Priorité**: Après MOD-P1-002 (format erreur d'abord)
---
## ❌ PHASE P2 — NON COMMENCÉE
- MOD-P2-001: 201 TODOs/FIXMEs
- MOD-P2-002: 81 tests skippés
- MOD-P2-003: 37 tests en quarantaine
- MOD-P2-004: Métriques DB pool manquantes
- MOD-P2-005: Redaction PII logs
- MOD-P2-006: 33 panics (principalement tests)
- MOD-P2-007: 5 log.Fatal (cmd/*) — Acceptable
- MOD-P2-008: 2 os.Exit (tools) — Acceptable
- MOD-P2-009: Pas de versioning API
- MOD-P2-010: Tests flaky playlists
---
## 📊 STATISTIQUES
### Progrès global
- **P0**: 2/2 ✅ (100%)
- **P1**: 4/6 🔄 (67% - 4 terminés, 2 en cours)
- **P2**: 0/10 ❌ (0%)
### Occurrences restantes
- `c.MustGet()`: 0 réels (17 commentaires dans track/handler.go) ✅
- `gin.H{"error"}`: ~483 restantes (~51 corrigées dans auth/playlist handlers critiques)
- `fmt.Errorf` sans `%w`: 969 restantes
---
## 🎯 PROCHAINES ÉTAPES
1. **Continuer MOD-P1-002**: Migrer les 86 occurrences restantes dans `playlist_handler.go`
2. **Continuer MOD-P1-002**: Migrer les handlers tracks (critiques)
3. **Continuer MOD-P1-004**: Ajouter timeouts dans handlers tracks
4. **Commencer MOD-P1-003**: Ajouter `%w` dans erreurs critiques (services auth, playlists, tracks)
---
## ✅ VALIDATIONS
- ✅ Compilation: `go build ./internal/handlers` OK
- ✅ Tests P0: `go test ./internal/core/track -c` OK
- ✅ Tests playlist: `go test ./internal/handlers -run TestCreatePlaylist_Success` OK
- ✅ Tests middleware: `go test ./internal/middleware -run TestRecovery` OK
---
**Fin du rapport**

161
veza-backend-api/docs/archive/REMEDIATION_STATUS_2025-12-15.md Normal file
View file

@ -0,0 +1,161 @@
# 🛠️ STATUT REMÉDIATION — VEZA BACKEND API
**Date**: 2025-12-15
**Statut Global**: 🔄 **EN COURS** (P0 ✅, P1 🔄 67%, P2 ❌ 0%)
---
## ✅ PHASE P0 — TERMINÉE (2/2) — 100%
| ID | Titre | Statut | Fichiers |
|----|-------|--------|----------|
| MOD-P0-001 | Erreurs compilation uuid.New() | ✅ **CORRIGÉ** | `service_async_test.go`, `service_n1_test.go` |
| MOD-P0-002 | Panic test playlist | ✅ **CORRIGÉ** | `playlist_handler_integration_test.go` (4 tests corrigés) |
**Validation**:
- ✅ `go test ./internal/core/track -c` compile
- ✅ `go test ./internal/handlers -run TestCreatePlaylist_Success` passe
- ✅ `go test ./internal/handlers -run TestGetPlaylist_Public` passe
---
## 🔄 PHASE P1 — EN COURS (4/6) — 67%
### ✅ Terminé (4/6)
| ID | Titre | Statut | Progrès |
|----|-------|--------|---------|
| MOD-P1-005 | Stack traces logs production | ✅ **CORRIGÉ** | Recovery middleware utilise `includeStackTrace` |
| MOD-P1-006 | /readyz mode dégradé | ✅ **DÉJÀ CORRIGÉ** | Retourne 200 même si Redis/RabbitMQ down |
| MOD-P1-001 | 57 c.MustGet() | ✅ **CORRIGÉ** | 15 occurrences réelles remplacées (helper `GetUserIDUUID()` créé) |
| MOD-P1-004 | Timeouts context | 🔄 **PARTIEL** | Timeouts ajoutés dans auth + playlists (handlers critiques) |
### 🔄 En cours (2/6)
| ID | Titre | Statut | Progrès |
|----|-------|--------|---------|
| MOD-P1-002 | 534 gin.H{"error"} | 🔄 **EN COURS** | ~51 occurrences migrées dans handlers critiques (auth + playlists) |
| MOD-P1-003 | 969 fmt.Errorf sans %w | ❌ **NON COMMENCÉ** | À faire après MOD-P1-002 |
---
## ❌ PHASE P2 — NON COMMENCÉE (0/10) — 0%
- MOD-P2-001: 201 TODOs/FIXMEs
- MOD-P2-002: 81 tests skippés
- MOD-P2-003: 37 tests en quarantaine
- MOD-P2-004: Métriques DB pool manquantes
- MOD-P2-005: Redaction PII logs
- MOD-P2-006: 33 panics (principalement tests)
- MOD-P2-007: 5 log.Fatal (cmd/*) — Acceptable
- MOD-P2-008: 2 os.Exit (tools) — Acceptable
- MOD-P2-009: Pas de versioning API
- MOD-P2-010: Tests flaky playlists
---
## 📊 DÉTAILS PAR MODULE
### MOD-P1-002: Format erreur standardisé
**Handlers migrés** (auth.go):
- ✅ Login
- ✅ Register
- ✅ Refresh
- ✅ VerifyEmail
- ✅ ResendVerification
- ✅ CheckUsername
- ✅ GetMe
**Handlers migrés** (playlist_handler.go):
- ✅ CreatePlaylist
- ✅ GetPlaylists
- ✅ GetPlaylist
- ✅ UpdatePlaylist
- ✅ DeletePlaylist
- ✅ AddTrack
- ✅ RemoveTrack
- ✅ ReorderTracks
- ✅ AddCollaborator
- ✅ RemoveCollaborator
- ✅ UpdateCollaboratorPermission
- ✅ GetCollaborators
- ✅ CreateShareLink
- ✅ FollowPlaylist
- ✅ UnfollowPlaylist
- ✅ GetPlaylistStats
- ✅ DuplicatePlaylist
- ✅ SearchPlaylists
- ✅ GetRecommendations
**Reste**:
- `playlist_handler.go`: ~45 occurrences (handlers moins critiques)
- `auth.go`: ~8 occurrences (handlers moins critiques)
- Autres handlers: ~430 occurrences
### MOD-P1-004: Timeouts context
**Timeouts ajoutés**:
- ✅ `playlist_handler.go`: CreatePlaylist, GetPlaylists, GetPlaylist, UpdatePlaylist, DeletePlaylist
- ✅ `auth.go`: Login, Register, CreateSession
**Helper créé**: `WithTimeout()` dans `common.go` (timeout par défaut 5s)
**Reste**: Autres handlers/services (à faire progressivement)
---
## ✅ VALIDATIONS
- ✅ Compilation: `go build ./internal/handlers` OK
- ✅ Tests P0: `go test ./internal/core/track -c` OK
- ✅ Tests playlist: `go test ./internal/handlers -run TestCreatePlaylist_Success` OK
- ✅ Tests playlist: `go test ./internal/handlers -run TestGetPlaylist_Public` OK
- ✅ Tests middleware: `go test ./internal/middleware -run TestRecovery` OK
---
## 🎯 PROCHAINES ÉTAPES RECOMMANDÉES
### Priorité 1 (P1 restant)
1. **Continuer MOD-P1-002**: Migrer les ~53 occurrences restantes dans `playlist_handler.go` et `auth.go`
2. **Continuer MOD-P1-002**: Commencer migration handlers tracks (critiques)
3. **Continuer MOD-P1-004**: Ajouter timeouts dans handlers tracks
4. **Commencer MOD-P1-003**: Ajouter `%w` dans erreurs critiques (services auth, playlists, tracks)
### Priorité 2 (P2)
5. MOD-P2-010: Corriger tests flaky playlists
6. MOD-P2-004: Ajouter métriques DB pool
7. MOD-P2-005: Ajouter redaction PII
---
## 📈 STATISTIQUES
### Occurrences corrigées
- `c.MustGet()`: 15/15 réels ✅ (0 restants)
- `gin.H{"error"}`: ~51/534 ✅ (~483 restants, 9.5% complété)
- `fmt.Errorf` sans `%w`: 0/969 ❌ (0% complété)
### Fichiers modifiés
- `internal/core/track/service_async_test.go`
- `internal/core/track/service_n1_test.go`
- `internal/handlers/playlist_handler_integration_test.go` (4 tests)
- `internal/middleware/recovery.go`
- `internal/middleware/recovery_env_test.go`
- `internal/middleware/recovery_test.go`
- `internal/api/router.go`
- `internal/handlers/common.go` (helpers créés)
- `internal/handlers/auth.go` (~13 occurrences)
- `internal/handlers/playlist_handler.go` (~40 occurrences)
- `internal/handlers/playback_analytics_handler.go`
- `internal/handlers/playback_websocket_handler.go`
- `internal/handlers/social.go`
- `internal/handlers/settings_handler.go`
- `internal/handlers/hls_handler.go`
- `internal/handlers/marketplace.go`
- `internal/handlers/comment_handler.go`
---
**Fin du rapport**

18
veza-backend-api/go.mod
View file

@ -1,6 +1,6 @@
module veza-backend-api
go 1.23.8
go 1.24.0
require (
github.com/DATA-DOG/go-sqlmock v1.5.2
@ -34,7 +34,7 @@ require (
github.com/testcontainers/testcontainers-go v0.33.0
github.com/testcontainers/testcontainers-go/modules/postgres v0.33.0
go.uber.org/zap v1.27.0
golang.org/x/crypto v0.40.0
golang.org/x/crypto v0.47.0
golang.org/x/oauth2 v0.30.0
golang.org/x/time v0.12.0
gopkg.in/natefinch/lumberjack.v2 v2.2.1
@ -148,13 +148,13 @@ require (
go.uber.org/mock v0.5.0 // indirect
go.uber.org/multierr v1.10.0 // indirect
golang.org/x/arch v0.20.0 // indirect
golang.org/x/image v0.0.0-20191009234506-e7c1f5e7dbb8 // indirect
golang.org/x/mod v0.25.0 // indirect
golang.org/x/net v0.42.0 // indirect
golang.org/x/sync v0.16.0 // indirect
golang.org/x/sys v0.35.0 // indirect
golang.org/x/text v0.27.0 // indirect
golang.org/x/tools v0.34.0 // indirect
golang.org/x/image v0.36.0 // indirect
golang.org/x/mod v0.32.0 // indirect
golang.org/x/net v0.49.0 // indirect
golang.org/x/sync v0.19.0 // indirect
golang.org/x/sys v0.40.0 // indirect
golang.org/x/text v0.34.0 // indirect
golang.org/x/tools v0.41.0 // indirect
google.golang.org/protobuf v1.36.9 // indirect
gopkg.in/yaml.v2 v2.4.0 // indirect
gopkg.in/yaml.v3 v3.0.1 // indirect

35
veza-backend-api/go.sum
View file

@ -348,15 +348,16 @@ golang.org/x/crypto v0.0.0-20190308221718-c2843e01d9a2/go.mod h1:djNgcEr1/C05ACk
golang.org/x/crypto v0.0.0-20191011191535-87dc89f01550/go.mod h1:yigFU9vqHzYiE8UmvKecakEJjdnWj3jj499lnFckfCI=
golang.org/x/crypto v0.0.0-20200622213623-75b288015ac9/go.mod h1:LzIPMQfyMNhhGPhUkYOs5KpL4U8rLKemX1yGLhDgUto=
golang.org/x/crypto v0.0.0-20210921155107-089bfa567519/go.mod h1:GvvjBRRGRdwPK5ydBHafDWAxML/pGHZbMvKqRZ5+Abc=
golang.org/x/crypto v0.40.0 h1:r4x+VvoG5Fm+eJcxMaY8CQM7Lb0l1lsmjGBQ6s8BfKM=
golang.org/x/crypto v0.40.0/go.mod h1:Qr1vMER5WyS2dfPHAlsOj01wgLbsyWtFn/aY+5+ZdxY=
golang.org/x/image v0.0.0-20191009234506-e7c1f5e7dbb8 h1:hVwzHzIUGRjiF7EcUjqNxk3NCfkPxbDKRdnNE1Rpg0U=
golang.org/x/crypto v0.47.0 h1:V6e3FRj+n4dbpw86FJ8Fv7XVOql7TEwpHapKoMJ/GO8=
golang.org/x/crypto v0.47.0/go.mod h1:ff3Y9VzzKbwSSEzWqJsJVBnWmRwRSHt/6Op5n9bQc4A=
golang.org/x/image v0.0.0-20191009234506-e7c1f5e7dbb8/go.mod h1:FeLwcggjj3mMvU+oOTbSwawSJRM1uh48EjtB4UJZlP0=
golang.org/x/image v0.36.0 h1:Iknbfm1afbgtwPTmHnS2gTM/6PPZfH+z2EFuOkSbqwc=
golang.org/x/image v0.36.0/go.mod h1:YsWD2TyyGKiIX1kZlu9QfKIsQ4nAAK9bdgdrIsE7xy4=
golang.org/x/mod v0.2.0/go.mod h1:s0Qsj1ACt9ePp/hMypM3fl4fZqREWJwdYDEqhRiZZUA=
golang.org/x/mod v0.3.0/go.mod h1:s0Qsj1ACt9ePp/hMypM3fl4fZqREWJwdYDEqhRiZZUA=
golang.org/x/mod v0.6.0-dev.0.20220419223038-86c51ed26bb4/go.mod h1:jJ57K6gSWd91VN4djpZkiMVwK6gcyfeH4XE8wZrZaV4=
golang.org/x/mod v0.25.0 h1:n7a+ZbQKQA/Ysbyb0/6IbB1H/X41mKgbhfv7AfG/44w=
golang.org/x/mod v0.25.0/go.mod h1:IXM97Txy2VM4PJ3gI61r1YEk/gAj6zAHN3AdZt6S9Ww=
golang.org/x/mod v0.32.0 h1:9F4d3PHLljb6x//jOyokMv3eX+YDeepZSEo3mFJy93c=
golang.org/x/mod v0.32.0/go.mod h1:SgipZ/3h2Ci89DlEtEXWUk/HteuRin+HHhN+WbNhguU=
golang.org/x/net v0.0.0-20190404232315-eb5bcb51f2a3/go.mod h1:t9HGtf8HONx5eT2rtn7q6eTqICYqUVnKs3thJo3Qplg=
golang.org/x/net v0.0.0-20190620200207-3b0461eec859/go.mod h1:z5CRVTTTmAJ677TzLLGU+0bjPO0LkuOLi4/5GtJWs/s=
golang.org/x/net v0.0.0-20200226121028-0de0cce0169b/go.mod h1:z5CRVTTTmAJ677TzLLGU+0bjPO0LkuOLi4/5GtJWs/s=
@ -365,16 +366,16 @@ golang.org/x/net v0.0.0-20210226172049-e18ecbb05110/go.mod h1:m0MpNAwzfU5UDzcl9v
golang.org/x/net v0.0.0-20210421230115-4e50805a0758/go.mod h1:72T/g9IO56b78aLF+1Kcs5dz7/ng1VjMUvfKvpfy+jM=
golang.org/x/net v0.0.0-20220722155237-a158d28d115b/go.mod h1:XRhObCWvk6IyKnWLug+ECip1KBveYUHfp+8e9klMJ9c=
golang.org/x/net v0.7.0/go.mod h1:2Tu9+aMcznHK/AK1HMvgo6xiTLG5rD5rZLDS+rp2Bjs=
golang.org/x/net v0.42.0 h1:jzkYrhi3YQWD6MLBJcsklgQsoAcw89EcZbJw8Z614hs=
golang.org/x/net v0.42.0/go.mod h1:FF1RA5d3u7nAYA4z2TkclSCKh68eSXtiFwcWQpPXdt8=
golang.org/x/net v0.49.0 h1:eeHFmOGUTtaaPSGNmjBKpbng9MulQsJURQUAfUwY++o=
golang.org/x/net v0.49.0/go.mod h1:/ysNB2EvaqvesRkuLAyjI1ycPZlQHM3q01F02UY/MV8=
golang.org/x/oauth2 v0.30.0 h1:dnDm7JmhM45NNpd8FDDeLhK6FwqbOf4MLCM9zb1BOHI=
golang.org/x/oauth2 v0.30.0/go.mod h1:B++QgG3ZKulg6sRPGD/mqlHQs5rB3Ml9erfeDY7xKlU=
golang.org/x/sync v0.0.0-20190423024810-112230192c58/go.mod h1:RxMgew5VJxzue5/jJTE5uejpjVlOe/izrB70Jof72aM=
golang.org/x/sync v0.0.0-20190911185100-cd5d95a43a6e/go.mod h1:RxMgew5VJxzue5/jJTE5uejpjVlOe/izrB70Jof72aM=
golang.org/x/sync v0.0.0-20201020160332-67f06af15bc9/go.mod h1:RxMgew5VJxzue5/jJTE5uejpjVlOe/izrB70Jof72aM=
golang.org/x/sync v0.0.0-20220722155255-886fb9371eb4/go.mod h1:RxMgew5VJxzue5/jJTE5uejpjVlOe/izrB70Jof72aM=
golang.org/x/sync v0.16.0 h1:ycBJEhp9p4vXvUZNszeOq0kGTPghopOL8q0fq3vstxw=
golang.org/x/sync v0.16.0/go.mod h1:1dzgHSNfp02xaA81J2MS99Qcpr2w7fw1gpm99rleRqA=
golang.org/x/sync v0.19.0 h1:vV+1eWNmZ5geRlYjzm2adRgW2/mcpevXNg50YZtPCE4=
golang.org/x/sync v0.19.0/go.mod h1:9KTHXmSnoGruLpwFjVSX0lNNA75CykiMECbovNTZqGI=
golang.org/x/sys v0.0.0-20190215142949-d0b11bdaac8a/go.mod h1:STP8DvDyc/dI5b8T5hshtkjS+E42TnysNCUPdjciGhY=
golang.org/x/sys v0.0.0-20190412213103-97732733099d/go.mod h1:h1NjWce9XRLGQEsW7wpKNCjG9DtNlClVuFLEZdDNbEs=
golang.org/x/sys v0.0.0-20190916202348-b4ddaad3f8a3/go.mod h1:h1NjWce9XRLGQEsW7wpKNCjG9DtNlClVuFLEZdDNbEs=
@ -392,20 +393,20 @@ golang.org/x/sys v0.6.0/go.mod h1:oPkhp1MJrh7nUepCBck5+mAzfO9JrbApNNgaTdGDITg=
golang.org/x/sys v0.8.0/go.mod h1:oPkhp1MJrh7nUepCBck5+mAzfO9JrbApNNgaTdGDITg=
golang.org/x/sys v0.11.0/go.mod h1:oPkhp1MJrh7nUepCBck5+mAzfO9JrbApNNgaTdGDITg=
golang.org/x/sys v0.15.0/go.mod h1:/VUhepiaJMQUp4+oa/7Zr1D23ma6VTLIYjOOTFZPUcA=
golang.org/x/sys v0.35.0 h1:vz1N37gP5bs89s7He8XuIYXpyY0+QlsKmzipCbUtyxI=
golang.org/x/sys v0.35.0/go.mod h1:BJP2sWEmIv4KK5OTEluFJCKSidICx8ciO85XgH3Ak8k=
golang.org/x/sys v0.40.0 h1:DBZZqJ2Rkml6QMQsZywtnjnnGvHza6BTfYFWY9kjEWQ=
golang.org/x/sys v0.40.0/go.mod h1:OgkHotnGiDImocRcuBABYBEXf8A9a87e/uXjp9XT3ks=
golang.org/x/term v0.0.0-20201126162022-7de9c90e9dd1/go.mod h1:bj7SfCRtBDWHUb9snDiAeCFNEtKQo2Wmx5Cou7ajbmo=
golang.org/x/term v0.0.0-20210927222741-03fcf44c2211/go.mod h1:jbD1KX2456YbFQfuXm/mYQcufACuNUgVhRMnK/tPxf8=
golang.org/x/term v0.5.0/go.mod h1:jMB1sMXY+tzblOD4FWmEbocvup2/aLOaQEp7JmGp78k=
golang.org/x/term v0.33.0 h1:NuFncQrRcaRvVmgRkvM3j/F00gWIAlcmlB8ACEKmGIg=
golang.org/x/term v0.33.0/go.mod h1:s18+ql9tYWp1IfpV9DmCtQDDSRBUjKaw9M1eAv5UeF0=
golang.org/x/term v0.39.0 h1:RclSuaJf32jOqZz74CkPA9qFuVTX7vhLlpfj/IGWlqY=
golang.org/x/term v0.39.0/go.mod h1:yxzUCTP/U+FzoxfdKmLaA0RV1WgE0VY7hXBwKtY/4ww=
golang.org/x/text v0.3.0/go.mod h1:NqM8EUOU14njkJ3fqMW+pc6Ldnwhi/IjpwHt7yyuwOQ=
golang.org/x/text v0.3.3/go.mod h1:5Zoc/QRtKVWzQhOtBMvqHzDpF6irO9z98xDceosuGiQ=
golang.org/x/text v0.3.6/go.mod h1:5Zoc/QRtKVWzQhOtBMvqHzDpF6irO9z98xDceosuGiQ=
golang.org/x/text v0.3.7/go.mod h1:u+2+/6zg+i71rQMx5EYifcz6MCKuco9NR6JIITiCfzQ=
golang.org/x/text v0.7.0/go.mod h1:mrYo+phRRbMaCq/xk9113O4dZlRixOauAjOtrjsXDZ8=
golang.org/x/text v0.27.0 h1:4fGWRpyh641NLlecmyl4LOe6yDdfaYNrGb2zdfo4JV4=
golang.org/x/text v0.27.0/go.mod h1:1D28KMCvyooCX9hBiosv5Tz/+YLxj0j7XhWjpSUF7CU=
golang.org/x/text v0.34.0 h1:oL/Qq0Kdaqxa1KbNeMKwQq0reLCCaFtqu2eNuSeNHbk=
golang.org/x/text v0.34.0/go.mod h1:homfLqTYRFyVYemLBFl5GgL/DWEiH5wcsQ5gSh1yziA=
golang.org/x/time v0.12.0 h1:ScB/8o8olJvc+CQPWrK3fPZNfh7qgwCrY0zJmoEQLSE=
golang.org/x/time v0.12.0/go.mod h1:CDIdPxbZBQxdj6cxyCIdrNogrJKMJ7pr37NYpMcMDSg=
golang.org/x/tools v0.0.0-20180917221912-90fa682c2a6e/go.mod h1:n7NCudcB/nEzxVGmLbDWY5pfWTLqBcC2KZ6jyYvM4mQ=
@ -413,8 +414,8 @@ golang.org/x/tools v0.0.0-20191119224855-298f0cb1881e/go.mod h1:b+2E5dAYhXwXZwtn
golang.org/x/tools v0.0.0-20200619180055-7c47624df98f/go.mod h1:EkVYQZoAsY45+roYkvgYkIh4xh/qjgUK9TdY2XT94GE=
golang.org/x/tools v0.0.0-20210106214847-113979e3529a/go.mod h1:emZCQorbCU4vsT4fOWvOPXz4eW1wZW4PmDk9uLelYpA=
golang.org/x/tools v0.1.12/go.mod h1:hNGJHUnrk76NpqgfD5Aqm5Crs+Hm0VOH/i9J2+nxYbc=
golang.org/x/tools v0.34.0 h1:qIpSLOxeCYGg9TrcJokLBG4KFA6d795g0xkBkiESGlo=
golang.org/x/tools v0.34.0/go.mod h1:pAP9OwEaY1CAW3HOmg3hLZC5Z0CCmzjAF2UQMSqNARg=
golang.org/x/tools v0.41.0 h1:a9b8iMweWG+S0OBnlU36rzLp20z1Rp10w+IY2czHTQc=
golang.org/x/tools v0.41.0/go.mod h1:XSY6eDqxVNiYgezAVqqCeihT4j1U2CCsqvH3WhQpnlg=
golang.org/x/xerrors v0.0.0-20190717185122-a985d3407aa7/go.mod h1:I/5z698sn9Ka8TeJc9MKroUUfqBBauWjQqLJ2OPfmY0=
golang.org/x/xerrors v0.0.0-20191011141410-1b5146add898/go.mod h1:I/5z698sn9Ka8TeJc9MKroUUfqBBauWjQqLJ2OPfmY0=
golang.org/x/xerrors v0.0.0-20191204190536-9bdfabe68543/go.mod h1:I/5z698sn9Ka8TeJc9MKroUUfqBBauWjQqLJ2OPfmY0=

76
veza-backend-api/internal/api/admin/service.go
View file

@ -1,6 +1,7 @@
package admin
import (
"fmt"
"veza-backend-api/internal/database"
"veza-backend-api/internal/models"
)
@ -40,16 +41,81 @@ func (s *Service) GetDashboardStats() (*models.DashboardStats, error) {
}
func (s *Service) GetUsers(page, limit int, search, role string) ([]models.UserAnalytics, int, error) {
// TODO: Implement based on doc_admin_handler.md
return []models.UserAnalytics{}, 0, nil
offset := (page - 1) * limit
if limit <= 0 {
limit = 20
}
baseQuery := `
SELECT u.id, u.username, u.email, u.role, u.created_at, u.last_login_at, u.is_active,
COALESCE((SELECT COUNT(*) FROM tracks t WHERE t.creator_id = u.id), 0) AS tracks_count,
0 AS listings_count, 0 AS resources_count, 0 AS messages_count, 0 AS products_count, 0 AS storage_used
FROM users u
WHERE u.deleted_at IS NULL
`
countQuery := `SELECT COUNT(*) FROM users u WHERE u.deleted_at IS NULL`
var whereClause string
var args []interface{}
argIndex := 1
if search != "" {
whereClause = fmt.Sprintf(` AND (u.email ILIKE $%d OR u.username ILIKE $%d OR u.first_name ILIKE $%d OR u.last_name ILIKE $%d)`, argIndex, argIndex, argIndex, argIndex)
args = append(args, "%"+search+"%")
argIndex++
}
if role != "" {
whereClause += fmt.Sprintf(` AND u.role = $%d`, argIndex)
args = append(args, role)
argIndex++
}
// Get total count
var total int
err := s.db.QueryRow(countQuery+whereClause, args...).Scan(&total)
if err != nil {
return nil, 0, fmt.Errorf("failed to count users: %w", err)
}
// Get users with pagination
orderClause := " ORDER BY u.created_at DESC"
limitClause := fmt.Sprintf(" LIMIT $%d OFFSET $%d", argIndex, argIndex+1)
args = append(args, limit, offset)
query := baseQuery + whereClause + orderClause + limitClause
rows, err := s.db.Query(query, args...)
if err != nil {
return nil, 0, fmt.Errorf("failed to query users: %w", err)
}
defer rows.Close()
var users []models.UserAnalytics
for rows.Next() {
var u models.UserAnalytics
err := rows.Scan(
&u.UserID, &u.Username, &u.Email, &u.Role, &u.RegistrationDate, &u.LastActivity, &u.IsActive,
&u.TracksCount, &u.ListingsCount, &u.ResourcesCount, &u.MessagesCount, &u.ProductsCount, &u.StorageUsed,
)
if err != nil {
return nil, 0, fmt.Errorf("failed to scan user: %w", err)
}
users = append(users, u)
}
return users, total, nil
}
func (s *Service) GetAnalytics() (*models.AdminContentAnalytics, error) {
// TODO: Implement based on doc_admin_handler.md
return &models.AdminContentAnalytics{}, nil
return &models.AdminContentAnalytics{
TracksByMonth: []models.MonthlyCount{},
ResourcesByMonth: []models.MonthlyCount{},
UsersByMonth: []models.MonthlyCount{},
PopularTags: []models.TagCount{},
TopUploaders: []models.UploaderStats{},
CategoryStats: []models.CategoryStats{},
}, nil
}
func (s *Service) GetCategories() ([]interface{}, error) {
// TODO: Implement categories
return []interface{}{}, nil
}

3
veza-backend-api/internal/api/handlers/two_factor_handlers.go
View file

@ -1,7 +1,8 @@
//go:build ignore
// +build ignore
// TODO: Réactiver two_factor_handlers après stabilisation du noyau et alignement des services (AuthService.GetUserByID)
// DEPRECATED: Ce fichier n'est pas utilisé. Les routes 2FA utilisent internal/handlers/two_factor_handler.go
// qui exige le mot de passe pour DisableTwoFactor (SEC-001). Ne pas réactiver sans alignement.
package handlers

3
veza-backend-api/internal/api/router.go
View file

@ -295,6 +295,9 @@ func (r *APIRouter) Setup(router *gin.Engine) error {
// Live Streams Routes
r.setupLiveRoutes(v1)
// Unified search GET /search (tracks, users, playlists)
r.setupSearchRoutes(v1)
}
return nil

Some files were not shown because too many files have changed in this diff Show more