e-ticket/TASK_CHECKUP.md

Task Checkup - E-Ticket

A faire

Billetterie & Commandes

• Décrémenter la quantité disponible du billet après achat (stock management)
• Empêcher l'achat si stock épuisé (vérification côté serveur)
• Ajouter un email de notification à l'orga quand une commande est passée
• Ajouter un email de notification à l'orga quand une commande est annulée/remboursée
• Gérer l'expiration des commandes pending (cron pour annuler après X minutes)
• Ajouter le webhook payment_intent.payment_failed pour gérer les échecs
• Ajouter le webhook charge.refunded pour mettre à jour le statut automatiquement
• Vérifier le type de billet (billet/reservation_brocante/vote) selon l'offre orga à la création

Invitations Organisateur

• Bloquer l'envoi d'invitations (billets) si Stripe n'est pas validé — non nécessaire car invitations = gratuit (pas de paiement Stripe)
• Après inscription via invitation, connecter automatiquement l'utilisateur
• Empêcher la double inscription (même email) avec message clair et redirect vers login
• Ajouter une notification admin quand un orga accepte/refuse une invitation

Paiements & Finances

• Ajouter le dashboard financier pour l'orga (encaissé, en attente, remboursé, com E-Ticket, com Stripe, net perçu)
• Ajouter les virements Stripe (payouts) dans l'onglet de l'orga (déjà en place)
• Générer un récapitulatif mensuel des ventes (export CSV + PDF, admin et orga)

Admin

• Dashboard admin : stats globales (CA global, commission E-Ticket, commission Stripe, nb commandes, nb billets, nb orgas, revenus net)
• Admin : liste de toutes les commandes avec filtres (recherche, statut, KPIs)
• Admin : pouvoir suspendre/réactiver un organisateur (badge, bouton toggle, redirect si suspendu, audit log)
• Admin : pouvoir modifier l'offre/commission d'un orga existant
• Vérifier que les permissions des sous-comptes sont respectées (scanner, events, tickets)
• Admin : logs des actions importantes (audit trail: commande, paiement, annulation, remboursement)

UX & Pages

• Page /tarifs : détailler les 3 offres (free/basic/custom) avec commissions et exemples
• Ajouter la recherche d'événements sur la homepage
• Ajouter le filtrage par date/ville sur /evenements
• Responsive : pages publiques OK à 320px (flex-wrap, overflow-x-auto, breakpoints)
• Ajouter les métadonnées OpenGraph sur toutes les pages publiques (og:title, og:description, og:type, og:url, og:image, twitter:card)
• Ajouter le sitemap dynamique avec les événements en ligne
• Fix breadcrumb JSON-LD URLs (absolute_url)

API Organisateur (portail orga + scanner mobile)

Environnements

• Sandbox (test, données non modifiées) : /api/sandbox/*
• Live (production, données réelles) : /api/live/*
• Auth commune aux deux : /api/auth/login

Authentification JWT

• POST /api/auth/login : authentification email + password, retourne un JWT token (24h)
• Headers requis sur toutes les routes : ETicket-Email + ETicket-JWT
• Créer un JwtAuthenticator custom Symfony pour les routes /api/sandbox/* et /api/live/*
• Rate limiting spécifique API (60 req/min par token)
• Onglet /mon-compte API → redirige vers /api/doc

Événements

• GET /api/{env}/events : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
• GET /api/{env}/events/{id} : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
• GET /api/{env}/events/{id}/stats : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)

Commandes

• GET /api/{env}/events/{id}/orders : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
• GET /api/{env}/events/{id}/orders?status=paid : filtrage par statut (pending, paid, cancelled, refunded)
• GET /api/{env}/orders/{orderNumber} : détail d'une commande avec items et tickets générés

Scanner (application mobile)

• GET /api/{env}/events/{id}/tickets : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
• POST /api/{env}/scan : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
• POST /api/{env}/scan/verify : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
• GET /api/{env}/events/{id}/scan-stats : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)

Billets & Stock

• GET /api/{env}/events/{id}/billets : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
• PATCH /api/{env}/billets/{id}/stock : modifier le stock d'un billet (body: {quantity})

Export

• GET /api/{env}/events/{id}/export/orders.csv : export CSV des commandes de l'événement
• GET /api/{env}/events/{id}/export/tickets.csv : export CSV des billets/entrées scannées

Réponses & format

• Toutes les réponses en JSON avec structure uniforme : {success: bool, data: {...}, error: ?string}
• Pagination sur les listes (query params: page, limit, max 100)
• Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
• Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes
• Sandbox : lecture seule (POST/PATCH/DELETE retournent le résultat sans modifier la DB)

Documentation

• Page /api/doc : documentation custom avec design brutal (pas de Swagger externe)
• Spec JSON disponible à /api/doc/spec.json
• Environnements sandbox/live documentés
• Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)

Billetterie — Manquants

• Race condition stock : verrouillage pessimiste (SELECT FOR UPDATE) pour éviter survente en cas de commandes simultanées
• Remboursement partiel : supporter les refunds partiels Stripe (actuellement tout est marqué remboursé)
• Désactiver le bouton "Commander" si l'événement est passé (vérifier endAt côté template + serveur)
• Idempotency key sur PaymentIntent::create pour éviter les doubles charges
• Déduplication des webhooks Stripe (stocker event.id pour ignorer les doublons)
• Validation email (filter_var FILTER_VALIDATE_EMAIL) dans OrderController guest flow et RegistrationController
• Validation JSON robuste dans OrderController::create (json_last_error, structure du panier)
• Expiration des invitations organisateur (token expiré après 7 jours)
• Audit log pour les opérations CRUD événement/catégorie/billet (actuellement seuls paiements/commandes sont loguées)
• Externaliser les taux Stripe (0.015 + 0.25€) et email admin (contact@e-cosplay.fr) dans .env/services.yaml

UX — Manquants

• Confirmation (data-confirm) sur suppression catégorie, billet, sous-compte, invitation admin
• Loading state + disable du bouton paiement après clic (éviter double soumission)
• Préserver les paramètres de recherche (?q=) dans les liens de pagination KnpPaginator (déjà géré par défaut par KnpPaginator)
• Feedback utilisateur sur erreur panier (cart.js : afficher un message si la création commande échoue)
• Feedback utilisateur sur sauvegarde design billet (billet-designer.js : aucun retour succès/erreur)
• Message "Rupture de stock" / "Bientot en rupture" en temps réel sur la page événement
• Bouton "Retour à l'événement" sur la page /paiement

Accessibilité

• Ajouter les attributs ARIA sur les onglets (role=tablist, role=tab, aria-selected, keyboard nav)
• Ajouter aria-label sur les boutons +/- du panier et les boutons toolbar éditeur
• Rendre les boutons toolbar de l'éditeur accessibles au clavier (tabindex)

Sécurité & Performance

• Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
• CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
• Cache Meilisearch : invalider quand un événement est modifié (déjà fait via EventIndexService::indexEvent)
• Optimiser les requêtes N+1 (stats tab, billets par catégorie)
• Sanitisation HTML de l'éditeur : filtrer aussi les attributs (editor.js sanitizeNode ne filtre que les tags)
• Timeout sur le polling Stripe dans stripe-payment.js (actuellement boucle infinie possible)
• Rate limiting sur l'accès commande publique (/commande/{orderNumber}/{token})

JS / Assets

• Ajouter .catch() sur tous les fetch() sans error handler (sortable.js, billet-designer.js)
• Ajouter un timeout/max retries sur waitForStripe() dans stripe-payment.js

Tests

• Couverture PHP : 92%+ (575 tests, 0 failures — services/entities/subscribers à 100%, controllers à 95%+)
• Atteindre 100% de couverture JS (100% lines, 99.47% stmts, 93% branches)
• Ajouter des tests pour le flow d'inscription via invitation
• Ajouter des tests pour AuditService, ExportService, InvoiceService
• Ajouter des tests pour les webhooks Stripe (payment_failed, charge.refunded)

Réseaux sociaux & Partage

Page détail événement (public)

• Bouton partage X (Twitter) : lien pré-rempli avec titre + URL événement
• Bouton partage Facebook : lien share dialog avec URL événement
• Bouton partage Instagram : copier le lien (Instagram ne supporte pas le share URL direct)
• Bouton partage TikTok : copier le lien (TikTok ne supporte pas le share URL direct)
• Bouton copier le lien de l'événement

Interface organisateur (/mon-compte)

• Bouton partage X (Twitter) pour chaque événement dans la liste
• Bouton partage Facebook pour chaque événement
• Bouton copier le lien pour chaque événement
• Bouton QR code événement : génération QR code PNG téléchargeable
• Page /mon-compte/evenement/{id}/qrcode : route avec Endroid QR Code
• Afficher les liens réseaux sociaux de l'orga (facebook, instagram, twitter, tiktok) sur la page événement (déjà en place via _social_icons.html.twig)

Infrastructure

• Configurer les crons pour les backups automatiques (DB + uploads, toutes les 30 min, rétention 1 jour)
• Ajouter le monitoring des queues Messenger (commande + cron toutes les heures + email admin)
• Tâche planifiée de vérification de cohérence de l'index Meilisearch