Complete TASK_CHECKUP: security, UX, tests, coverage, accessibility, config externalization

Billetterie:
- Partial refund support (STATUS_PARTIALLY_REFUNDED, refundedAmount field, migration)
- Race condition fix: PESSIMISTIC_WRITE lock on stock decrement in transaction
- Idempotency key on PaymentIntent::create, reuse existing PI if stripeSessionId set
- Disable checkout when event ended (server 400 + template hide)
- Webhook deduplication via cache (24h TTL on stripe event.id)
- Email validation (filter_var) in OrderController guest flow
- JSON cart validation (structure check before processing)
- Invitation expiration after 7 days (isExpired method + landing page message)
- Stripe Checkout fallback when JS fails to load (noscript + redirect)

Config externalization:
- Move Stripe fees (STRIPE_FEE_RATE, STRIPE_FEE_FIXED) and admin email (ADMIN_EMAIL) to .env/services.yaml
- Replace all hardcoded contact@e-cosplay.fr across 13 files
- MailerService: getAdminEmail()/getAdminFrom(), default $from=null resolves to admin

UX & Accessibility:
- ARIA tabs: role=tablist/tab/tabpanel, aria-selected, keyboard nav (arrows, Home, End)
- aria-label on cart +/- buttons and editor toolbar buttons
- tabindex=0 on editor toolbar buttons for keyboard access
- data-confirm handler in app.js (was only in admin.js)
- Cart error feedback on checkout failure
- Billet designer save feedback (loading/success/error states)
- Stock polling every 30s with rupture/low stock badges
- Back to event link on payment page

Security:
- HTML sanitizer: BLOCKED_TAGS list (script, style, iframe, svg, etc.) - content fully removed
- Stripe polling timeout (15s max) with fallback redirect
- Rate limiting on public order access (20/5min)
- .catch() on all fetch() calls (sortable, billet-designer)

Tests (92% PHP, 100% JS lines):
- PCOV added to dev Dockerfile
- Test DB setup: .env.test with DATABASE_URL, Redis auth, Meilisearch key
- Rate limiter disabled in test env
- Makefile: test_db_setup, test_db_reset, run_test_php, run_test_coverage_php/js
- New tests: InvitationFlowTest (21), AuditServiceTest (4), ExportServiceTest (9), InvoiceServiceTest (4)
- New tests: SuspendedUserSubscriberTest, RateLimiterSubscriberTest, MeilisearchServiceTest
- New tests: Stripe webhook payment_failed (6) + charge.refunded (6)
- New tests: BilletBuyer refund, User suspended, OrganizerInvitation expiration
- JS tests: stock polling (6), data-confirm (2), copy-url restore (1), editor ARIA (2), XSS (9), tabs keyboard (9)
- ESLint + PHP CS Fixer: 0 errors
- SonarQube exclusions aligned with vitest coverage config

Infra:
- Meilisearch consistency command (app:meilisearch:check-consistency --fix) + cron daily 3am
- MeilisearchService: getAllDocumentIds(), listIndexes()

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

TASK_CHECKUP.md

@@ -40,23 +40,97 @@
 - [x] Ajouter le sitemap dynamique avec les événements en ligne
 - [x] Fix breadcrumb JSON-LD URLs (absolute_url)
 
-### API (Application mobile scanner uniquement)
-- [ ] POST `/api/login` : authentification email + password orga, retourne un JWT token
-- [ ] GET `/api/events` : liste des événements de l'orga authentifié
-- [ ] POST `/api/events/{id}/scan` : scan d'un billet (decode QR → check reference → check state → mark scanned, gérer sortie définitive)
-- [ ] Middleware JWT pour sécuriser les routes /api/*
+### API Organisateur (portail orga + scanner mobile)
+
+#### Authentification & clés API
+- [ ] Ajouter un champ `apiKey` (string 64, unique, nullable) à l'entité User + migration
+- [ ] Page /mon-compte/api : générer, afficher, régénérer, révoquer la clé API (bin2hex(random_bytes(32)))
+- [ ] Créer un `ApiKeyAuthenticator` custom Symfony (header `X-API-Key`) pour les routes `/api/*`
+- [ ] Rate limiting spécifique API (60 req/min par clé)
+- [ ] Audit log à chaque génération/révocation de clé API
+
+#### Événements
+- [ ] GET `/api/events` : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
+- [ ] GET `/api/events/{id}` : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
+- [ ] GET `/api/events/{id}/stats` : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)
+
+#### Commandes
+- [ ] GET `/api/events/{id}/orders` : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
+- [ ] GET `/api/events/{id}/orders?status=paid` : filtrage par statut (pending, paid, cancelled, refunded)
+- [ ] GET `/api/orders/{orderNumber}` : détail d'une commande avec items et tickets générés
+
+#### Scanner (application mobile)
+- [ ] GET `/api/events/{id}/tickets` : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
+- [ ] POST `/api/scan` : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
+- [ ] POST `/api/scan/verify` : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
+- [ ] GET `/api/events/{id}/scan-stats` : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)
+
+#### Billets & Stock
+- [ ] GET `/api/events/{id}/billets` : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
+- [ ] PATCH `/api/billets/{id}/stock` : modifier le stock d'un billet (body: {quantity})
+
+#### Export
+- [ ] GET `/api/events/{id}/export/orders.csv` : export CSV des commandes de l'événement
+- [ ] GET `/api/events/{id}/export/tickets.csv` : export CSV des billets/entrées scannées
+
+#### Réponses & format
+- [ ] Toutes les réponses en JSON avec structure uniforme : `{success: bool, data: {...}, error: ?string}`
+- [ ] Pagination sur les listes (query params: page, limit, max 100)
+- [ ] Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
+- [ ] Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes
+
+#### Documentation & SDK
+- [ ] Générer un fichier `api-spec.json` (OpenAPI 3.1) décrivant tous les endpoints
+- [ ] Page /mon-compte/api/documentation : afficher la doc interactive (swagger-ui ou redoc)
+- [ ] Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)
+
+### Billetterie — Manquants
+- [x] Race condition stock : verrouillage pessimiste (SELECT FOR UPDATE) pour éviter survente en cas de commandes simultanées
+- [x] Remboursement partiel : supporter les refunds partiels Stripe (actuellement tout est marqué remboursé)
+- [x] Désactiver le bouton "Commander" si l'événement est passé (vérifier endAt côté template + serveur)
+- [x] Idempotency key sur PaymentIntent::create pour éviter les doubles charges
+- [x] Déduplication des webhooks Stripe (stocker event.id pour ignorer les doublons)
+- [x] Validation email (filter_var FILTER_VALIDATE_EMAIL) dans OrderController guest flow et RegistrationController
+- [x] Validation JSON robuste dans OrderController::create (json_last_error, structure du panier)
+- [x] Expiration des invitations organisateur (token expiré après 7 jours)
+- [x] Audit log pour les opérations CRUD événement/catégorie/billet (actuellement seuls paiements/commandes sont loguées)
+- [x] Externaliser les taux Stripe (0.015 + 0.25€) et email admin (contact@e-cosplay.fr) dans .env/services.yaml
+
+### UX — Manquants
+- [x] Confirmation (data-confirm) sur suppression catégorie, billet, sous-compte, invitation admin
+- [x] Loading state + disable du bouton paiement après clic (éviter double soumission)
+- [x] Préserver les paramètres de recherche (?q=) dans les liens de pagination KnpPaginator (déjà géré par défaut par KnpPaginator)
+- [x] Feedback utilisateur sur erreur panier (cart.js : afficher un message si la création commande échoue)
+- [x] Feedback utilisateur sur sauvegarde design billet (billet-designer.js : aucun retour succès/erreur)
+- [x] Message "Rupture de stock" / "Bientot en rupture" en temps réel sur la page événement
+- [x] Bouton "Retour à l'événement" sur la page /paiement
+
+### Accessibilité
+- [x] Ajouter les attributs ARIA sur les onglets (role=tablist, role=tab, aria-selected, keyboard nav)
+- [x] Ajouter aria-label sur les boutons +/- du panier et les boutons toolbar éditeur
+- [x] Rendre les boutons toolbar de l'éditeur accessibles au clavier (tabindex)
 
 ### Sécurité & Performance
 - [x] Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
 - [x] CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
 - [x] Cache Meilisearch : invalider quand un événement est modifié (déjà fait via EventIndexService::indexEvent)
 - [x] Optimiser les requêtes N+1 (stats tab, billets par catégorie)
+- [x] Sanitisation HTML de l'éditeur : filtrer aussi les attributs (editor.js sanitizeNode ne filtre que les tags)
+- [x] Timeout sur le polling Stripe dans stripe-payment.js (actuellement boucle infinie possible)
+- [x] Rate limiting sur l'accès commande publique (/commande/{orderNumber}/{token})
+
+### JS / Assets
+- [x] Ajouter .catch() sur tous les fetch() sans error handler (sortable.js, billet-designer.js)
+- [x] Ajouter un timeout/max retries sur waitForStripe() dans stripe-payment.js
 
 ### Tests
-- [ ] Atteindre 90%+ de couverture PHP
-- [ ] Atteindre 100% de couverture JS
-- [ ] Ajouter des tests pour le flow d'inscription via invitation
+- [x] Couverture PHP : 92%+ (575 tests, 0 failures — services/entities/subscribers à 100%, controllers à 95%+)
+- [x] Atteindre 100% de couverture JS (100% lines, 99.47% stmts, 93% branches)
+- [x] Ajouter des tests pour le flow d'inscription via invitation
+- [x] Ajouter des tests pour AuditService, ExportService, InvoiceService
+- [x] Ajouter des tests pour les webhooks Stripe (payment_failed, charge.refunded)
 
 ### Infrastructure
 - [x] Configurer les crons pour les backups automatiques (DB + uploads, toutes les 30 min, rétention 1 jour)
 - [x] Ajouter le monitoring des queues Messenger (commande + cron toutes les heures + email admin)
+- [x] Tâche planifiée de vérification de cohérence de l'index Meilisearch