Add sandbox/live environments to API doc, update TASK_CHECKUP for JWT auth
API doc:
- Add sandbox (/api/sandbox) and live (/api/live) environments with badges
- Auth (/api/auth/login) is shared between environments
- Endpoint paths show both prefixes: /api/sandbox|/api/live/...
- Auth endpoints show path without prefix
TASK_CHECKUP:
- Replace API key auth with JWT auth (ETicket-Email + ETicket-JWT headers)
- All routes use {env} prefix (sandbox/live)
- /mon-compte API tab redirects to /api/doc
- Sandbox: read-only mode (POST/PATCH/DELETE return result without DB modification)
- Mark documentation tasks as done
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Serreau Jovann
@@ -42,46 +42,53 @@
|
||||
|
||||
### API Organisateur (portail orga + scanner mobile)
|
||||
|
||||
#### Authentification & clés API
|
||||
- [ ] Ajouter un champ `apiKey` (string 64, unique, nullable) à l'entité User + migration
|
||||
- [ ] Page /mon-compte/api : générer, afficher, régénérer, révoquer la clé API (bin2hex(random_bytes(32)))
|
||||
- [ ] Créer un `ApiKeyAuthenticator` custom Symfony (header `X-API-Key`) pour les routes `/api/*`
|
||||
- [ ] Rate limiting spécifique API (60 req/min par clé)
|
||||
- [ ] Audit log à chaque génération/révocation de clé API
|
||||
#### Environnements
|
||||
- Sandbox (test, données non modifiées) : `/api/sandbox/*`
|
||||
- Live (production, données réelles) : `/api/live/*`
|
||||
- Auth commune aux deux : `/api/auth/login`
|
||||
|
||||
#### Authentification JWT
|
||||
- [ ] POST `/api/auth/login` : authentification email + password, retourne un JWT token (24h)
|
||||
- [ ] Headers requis sur toutes les routes : `ETicket-Email` + `ETicket-JWT`
|
||||
- [ ] Créer un `JwtAuthenticator` custom Symfony pour les routes `/api/sandbox/*` et `/api/live/*`
|
||||
- [ ] Rate limiting spécifique API (60 req/min par token)
|
||||
- [ ] Onglet /mon-compte API → redirige vers /api/doc
|
||||
|
||||
#### Événements
|
||||
- [ ] GET `/api/events` : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
|
||||
- [ ] GET `/api/events/{id}` : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
|
||||
- [ ] GET `/api/events/{id}/stats` : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)
|
||||
- [ ] GET `/api/{env}/events` : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
|
||||
- [ ] GET `/api/{env}/events/{id}` : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
|
||||
- [ ] GET `/api/{env}/events/{id}/stats` : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)
|
||||
|
||||
#### Commandes
|
||||
- [ ] GET `/api/events/{id}/orders` : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
|
||||
- [ ] GET `/api/events/{id}/orders?status=paid` : filtrage par statut (pending, paid, cancelled, refunded)
|
||||
- [ ] GET `/api/orders/{orderNumber}` : détail d'une commande avec items et tickets générés
|
||||
- [ ] GET `/api/{env}/events/{id}/orders` : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
|
||||
- [ ] GET `/api/{env}/events/{id}/orders?status=paid` : filtrage par statut (pending, paid, cancelled, refunded)
|
||||
- [ ] GET `/api/{env}/orders/{orderNumber}` : détail d'une commande avec items et tickets générés
|
||||
|
||||
#### Scanner (application mobile)
|
||||
- [ ] GET `/api/events/{id}/tickets` : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
|
||||
- [ ] POST `/api/scan` : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
|
||||
- [ ] POST `/api/scan/verify` : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
|
||||
- [ ] GET `/api/events/{id}/scan-stats` : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)
|
||||
- [ ] GET `/api/{env}/events/{id}/tickets` : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
|
||||
- [ ] POST `/api/{env}/scan` : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
|
||||
- [ ] POST `/api/{env}/scan/verify` : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
|
||||
- [ ] GET `/api/{env}/events/{id}/scan-stats` : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)
|
||||
|
||||
#### Billets & Stock
|
||||
- [ ] GET `/api/events/{id}/billets` : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
|
||||
- [ ] PATCH `/api/billets/{id}/stock` : modifier le stock d'un billet (body: {quantity})
|
||||
- [ ] GET `/api/{env}/events/{id}/billets` : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
|
||||
- [ ] PATCH `/api/{env}/billets/{id}/stock` : modifier le stock d'un billet (body: {quantity})
|
||||
|
||||
#### Export
|
||||
- [ ] GET `/api/events/{id}/export/orders.csv` : export CSV des commandes de l'événement
|
||||
- [ ] GET `/api/events/{id}/export/tickets.csv` : export CSV des billets/entrées scannées
|
||||
- [ ] GET `/api/{env}/events/{id}/export/orders.csv` : export CSV des commandes de l'événement
|
||||
- [ ] GET `/api/{env}/events/{id}/export/tickets.csv` : export CSV des billets/entrées scannées
|
||||
|
||||
#### Réponses & format
|
||||
- [ ] Toutes les réponses en JSON avec structure uniforme : `{success: bool, data: {...}, error: ?string}`
|
||||
- [ ] Pagination sur les listes (query params: page, limit, max 100)
|
||||
- [ ] Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
|
||||
- [ ] Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes
|
||||
- [ ] Sandbox : lecture seule (POST/PATCH/DELETE retournent le résultat sans modifier la DB)
|
||||
|
||||
#### Documentation & SDK
|
||||
- [ ] Générer un fichier `api-spec.json` (OpenAPI 3.1) décrivant tous les endpoints
|
||||
- [ ] Page /mon-compte/api/documentation : afficher la doc interactive (swagger-ui ou redoc)
|
||||
#### Documentation
|
||||
- [x] Page /api/doc : documentation custom avec design brutal (pas de Swagger externe)
|
||||
- [x] Spec JSON disponible à /api/doc/spec.json
|
||||
- [x] Environnements sandbox/live documentés
|
||||
- [ ] Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)
|
||||
|
||||
### Billetterie — Manquants
|
||||
|
||||
Reference in New Issue
Block a user