e-ticket/TASK_CHECKUP.md

# Task Checkup - E-Ticket

## A faire

### Billetterie & Commandes
- [x] Décrémenter la quantité disponible du billet après achat (stock management)
- [x] Empêcher l'achat si stock épuisé (vérification côté serveur)
- [x] Ajouter un email de notification à l'orga quand une commande est passée
- [x] Ajouter un email de notification à l'orga quand une commande est annulée/remboursée
- [x] Gérer l'expiration des commandes pending (cron pour annuler après X minutes)
- [x] Ajouter le webhook `payment_intent.payment_failed` pour gérer les échecs
- [x] Ajouter le webhook `charge.refunded` pour mettre à jour le statut automatiquement
- [x] Vérifier le type de billet (billet/reservation_brocante/vote) selon l'offre orga à la création

### Invitations Organisateur
- [x] Bloquer l'envoi d'invitations (billets) si Stripe n'est pas validé — non nécessaire car invitations = gratuit (pas de paiement Stripe)
- [x] Après inscription via invitation, connecter automatiquement l'utilisateur
- [x] Empêcher la double inscription (même email) avec message clair et redirect vers login
- [x] Ajouter une notification admin quand un orga accepte/refuse une invitation

### Paiements & Finances
- [x] Ajouter le dashboard financier pour l'orga (encaissé, en attente, remboursé, com E-Ticket, com Stripe, net perçu)
- [x] Ajouter les virements Stripe (payouts) dans l'onglet de l'orga (déjà en place)
- [x] Générer un récapitulatif mensuel des ventes (export CSV + PDF, admin et orga)

### Admin
- [x] Dashboard admin : stats globales (CA global, commission E-Ticket, commission Stripe, nb commandes, nb billets, nb orgas, revenus net)
- [x] Admin : liste de toutes les commandes avec filtres (recherche, statut, KPIs)
- [x] Admin : pouvoir suspendre/réactiver un organisateur (badge, bouton toggle, redirect si suspendu, audit log)
- [x] Admin : pouvoir modifier l'offre/commission d'un orga existant
- [x] Vérifier que les permissions des sous-comptes sont respectées (scanner, events, tickets)
- [x] Admin : logs des actions importantes (audit trail: commande, paiement, annulation, remboursement)

### UX & Pages
- [x] Page /tarifs : détailler les 3 offres (free/basic/custom) avec commissions et exemples
- [x] Ajouter la recherche d'événements sur la homepage
- [x] Ajouter le filtrage par date/ville sur /evenements
- [x] Responsive : pages publiques OK à 320px (flex-wrap, overflow-x-auto, breakpoints)
- [x] Ajouter les métadonnées OpenGraph sur toutes les pages publiques (og:title, og:description, og:type, og:url, og:image, twitter:card)
- [x] Ajouter le sitemap dynamique avec les événements en ligne
- [x] Fix breadcrumb JSON-LD URLs (absolute_url)

### API Organisateur (portail orga + scanner mobile)

#### Authentification & clés API
- [ ] Ajouter un champ `apiKey` (string 64, unique, nullable) à l'entité User + migration
- [ ] Page /mon-compte/api : générer, afficher, régénérer, révoquer la clé API (bin2hex(random_bytes(32)))
- [ ] Créer un `ApiKeyAuthenticator` custom Symfony (header `X-API-Key`) pour les routes `/api/*`
- [ ] Rate limiting spécifique API (60 req/min par clé)
- [ ] Audit log à chaque génération/révocation de clé API

#### Événements
- [ ] GET `/api/events` : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
- [ ] GET `/api/events/{id}` : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
- [ ] GET `/api/events/{id}/stats` : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)

#### Commandes
- [ ] GET `/api/events/{id}/orders` : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
- [ ] GET `/api/events/{id}/orders?status=paid` : filtrage par statut (pending, paid, cancelled, refunded)
- [ ] GET `/api/orders/{orderNumber}` : détail d'une commande avec items et tickets générés

#### Scanner (application mobile)
- [ ] GET `/api/events/{id}/tickets` : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
- [ ] POST `/api/scan` : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
- [ ] POST `/api/scan/verify` : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
- [ ] GET `/api/events/{id}/scan-stats` : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)

#### Billets & Stock
- [ ] GET `/api/events/{id}/billets` : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
- [ ] PATCH `/api/billets/{id}/stock` : modifier le stock d'un billet (body: {quantity})

#### Export
- [ ] GET `/api/events/{id}/export/orders.csv` : export CSV des commandes de l'événement
- [ ] GET `/api/events/{id}/export/tickets.csv` : export CSV des billets/entrées scannées

#### Réponses & format
- [ ] Toutes les réponses en JSON avec structure uniforme : `{success: bool, data: {...}, error: ?string}`
- [ ] Pagination sur les listes (query params: page, limit, max 100)
- [ ] Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
- [ ] Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes

#### Documentation & SDK
- [ ] Générer un fichier `api-spec.json` (OpenAPI 3.1) décrivant tous les endpoints
- [ ] Page /mon-compte/api/documentation : afficher la doc interactive (swagger-ui ou redoc)
- [ ] Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)

### Billetterie — Manquants
- [x] Race condition stock : verrouillage pessimiste (SELECT FOR UPDATE) pour éviter survente en cas de commandes simultanées
- [x] Remboursement partiel : supporter les refunds partiels Stripe (actuellement tout est marqué remboursé)
- [x] Désactiver le bouton "Commander" si l'événement est passé (vérifier endAt côté template + serveur)
- [x] Idempotency key sur PaymentIntent::create pour éviter les doubles charges
- [x] Déduplication des webhooks Stripe (stocker event.id pour ignorer les doublons)
- [x] Validation email (filter_var FILTER_VALIDATE_EMAIL) dans OrderController guest flow et RegistrationController
- [x] Validation JSON robuste dans OrderController::create (json_last_error, structure du panier)
- [x] Expiration des invitations organisateur (token expiré après 7 jours)
- [x] Audit log pour les opérations CRUD événement/catégorie/billet (actuellement seuls paiements/commandes sont loguées)
- [x] Externaliser les taux Stripe (0.015 + 0.25€) et email admin (contact@e-cosplay.fr) dans .env/services.yaml

### UX — Manquants
- [x] Confirmation (data-confirm) sur suppression catégorie, billet, sous-compte, invitation admin
- [x] Loading state + disable du bouton paiement après clic (éviter double soumission)
- [x] Préserver les paramètres de recherche (?q=) dans les liens de pagination KnpPaginator (déjà géré par défaut par KnpPaginator)
- [x] Feedback utilisateur sur erreur panier (cart.js : afficher un message si la création commande échoue)
- [x] Feedback utilisateur sur sauvegarde design billet (billet-designer.js : aucun retour succès/erreur)
- [x] Message "Rupture de stock" / "Bientot en rupture" en temps réel sur la page événement
- [x] Bouton "Retour à l'événement" sur la page /paiement

### Accessibilité
- [x] Ajouter les attributs ARIA sur les onglets (role=tablist, role=tab, aria-selected, keyboard nav)
- [x] Ajouter aria-label sur les boutons +/- du panier et les boutons toolbar éditeur
- [x] Rendre les boutons toolbar de l'éditeur accessibles au clavier (tabindex)

### Sécurité & Performance
- [x] Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
- [x] CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
- [x] Cache Meilisearch : invalider quand un événement est modifié (déjà fait via EventIndexService::indexEvent)
- [x] Optimiser les requêtes N+1 (stats tab, billets par catégorie)
- [x] Sanitisation HTML de l'éditeur : filtrer aussi les attributs (editor.js sanitizeNode ne filtre que les tags)
- [x] Timeout sur le polling Stripe dans stripe-payment.js (actuellement boucle infinie possible)
- [x] Rate limiting sur l'accès commande publique (/commande/{orderNumber}/{token})

### JS / Assets
- [x] Ajouter .catch() sur tous les fetch() sans error handler (sortable.js, billet-designer.js)
- [x] Ajouter un timeout/max retries sur waitForStripe() dans stripe-payment.js

### Tests
- [x] Couverture PHP : 92%+ (575 tests, 0 failures — services/entities/subscribers à 100%, controllers à 95%+)
- [x] Atteindre 100% de couverture JS (100% lines, 99.47% stmts, 93% branches)
- [x] Ajouter des tests pour le flow d'inscription via invitation
- [x] Ajouter des tests pour AuditService, ExportService, InvoiceService
- [x] Ajouter des tests pour les webhooks Stripe (payment_failed, charge.refunded)

### Infrastructure
- [x] Configurer les crons pour les backups automatiques (DB + uploads, toutes les 30 min, rétention 1 jour)
- [x] Ajouter le monitoring des queues Messenger (commande + cron toutes les heures + email admin)
- [x] Tâche planifiée de vérification de cohérence de l'index Meilisearch