admin/e-ticket
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
04927ec988aae6db73f74358ca26d5366a81d9c4
e-ticket/TASK_CHECKUP.md
Serreau Jovann 04927ec988 Complete TASK_CHECKUP: security, UX, tests, coverage, accessibility, config externalization 
Billetterie:
- Partial refund support (STATUS_PARTIALLY_REFUNDED, refundedAmount field, migration)
- Race condition fix: PESSIMISTIC_WRITE lock on stock decrement in transaction
- Idempotency key on PaymentIntent::create, reuse existing PI if stripeSessionId set
- Disable checkout when event ended (server 400 + template hide)
- Webhook deduplication via cache (24h TTL on stripe event.id)
- Email validation (filter_var) in OrderController guest flow
- JSON cart validation (structure check before processing)
- Invitation expiration after 7 days (isExpired method + landing page message)
- Stripe Checkout fallback when JS fails to load (noscript + redirect)

Config externalization:
- Move Stripe fees (STRIPE_FEE_RATE, STRIPE_FEE_FIXED) and admin email (ADMIN_EMAIL) to .env/services.yaml
- Replace all hardcoded contact@e-cosplay.fr across 13 files
- MailerService: getAdminEmail()/getAdminFrom(), default $from=null resolves to admin

UX & Accessibility:
- ARIA tabs: role=tablist/tab/tabpanel, aria-selected, keyboard nav (arrows, Home, End)
- aria-label on cart +/- buttons and editor toolbar buttons
- tabindex=0 on editor toolbar buttons for keyboard access
- data-confirm handler in app.js (was only in admin.js)
- Cart error feedback on checkout failure
- Billet designer save feedback (loading/success/error states)
- Stock polling every 30s with rupture/low stock badges
- Back to event link on payment page

Security:
- HTML sanitizer: BLOCKED_TAGS list (script, style, iframe, svg, etc.) - content fully removed
- Stripe polling timeout (15s max) with fallback redirect
- Rate limiting on public order access (20/5min)
- .catch() on all fetch() calls (sortable, billet-designer)

Tests (92% PHP, 100% JS lines):
- PCOV added to dev Dockerfile
- Test DB setup: .env.test with DATABASE_URL, Redis auth, Meilisearch key
- Rate limiter disabled in test env
- Makefile: test_db_setup, test_db_reset, run_test_php, run_test_coverage_php/js
- New tests: InvitationFlowTest (21), AuditServiceTest (4), ExportServiceTest (9), InvoiceServiceTest (4)
- New tests: SuspendedUserSubscriberTest, RateLimiterSubscriberTest, MeilisearchServiceTest
- New tests: Stripe webhook payment_failed (6) + charge.refunded (6)
- New tests: BilletBuyer refund, User suspended, OrganizerInvitation expiration
- JS tests: stock polling (6), data-confirm (2), copy-url restore (1), editor ARIA (2), XSS (9), tabs keyboard (9)
- ESLint + PHP CS Fixer: 0 errors
- SonarQube exclusions aligned with vitest coverage config

Infra:
- Meilisearch consistency command (app:meilisearch:check-consistency --fix) + cron daily 3am
- MeilisearchService: getAllDocumentIds(), listIndexes()

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-03-23 11:14:06 +01:00

137 lines
9.2 KiB
Markdown
Raw Blame History

# Task Checkup - E-Ticket
## A faire
### Billetterie & Commandes
- [x] Décrémenter la quantité disponible du billet après achat (stock management)
- [x] Empêcher l'achat si stock épuisé (vérification côté serveur)
- [x] Ajouter un email de notification à l'orga quand une commande est passée
- [x] Ajouter un email de notification à l'orga quand une commande est annulée/remboursée
- [x] Gérer l'expiration des commandes pending (cron pour annuler après X minutes)
- [x] Ajouter le webhook `payment_intent.payment_failed` pour gérer les échecs
- [x] Ajouter le webhook `charge.refunded` pour mettre à jour le statut automatiquement
- [x] Vérifier le type de billet (billet/reservation_brocante/vote) selon l'offre orga à la création
### Invitations Organisateur
- [x] Bloquer l'envoi d'invitations (billets) si Stripe n'est pas validé — non nécessaire car invitations = gratuit (pas de paiement Stripe)
- [x] Après inscription via invitation, connecter automatiquement l'utilisateur
- [x] Empêcher la double inscription (même email) avec message clair et redirect vers login
- [x] Ajouter une notification admin quand un orga accepte/refuse une invitation
### Paiements & Finances
- [x] Ajouter le dashboard financier pour l'orga (encaissé, en attente, remboursé, com E-Ticket, com Stripe, net perçu)
- [x] Ajouter les virements Stripe (payouts) dans l'onglet de l'orga (déjà en place)
- [x] Générer un récapitulatif mensuel des ventes (export CSV + PDF, admin et orga)
### Admin
- [x] Dashboard admin : stats globales (CA global, commission E-Ticket, commission Stripe, nb commandes, nb billets, nb orgas, revenus net)
- [x] Admin : liste de toutes les commandes avec filtres (recherche, statut, KPIs)
- [x] Admin : pouvoir suspendre/réactiver un organisateur (badge, bouton toggle, redirect si suspendu, audit log)
- [x] Admin : pouvoir modifier l'offre/commission d'un orga existant
- [x] Vérifier que les permissions des sous-comptes sont respectées (scanner, events, tickets)
- [x] Admin : logs des actions importantes (audit trail: commande, paiement, annulation, remboursement)
### UX & Pages
- [x] Page /tarifs : détailler les 3 offres (free/basic/custom) avec commissions et exemples
- [x] Ajouter la recherche d'événements sur la homepage
- [x] Ajouter le filtrage par date/ville sur /evenements
- [x] Responsive : pages publiques OK à 320px (flex-wrap, overflow-x-auto, breakpoints)
- [x] Ajouter les métadonnées OpenGraph sur toutes les pages publiques (og:title, og:description, og:type, og:url, og:image, twitter:card)
- [x] Ajouter le sitemap dynamique avec les événements en ligne
- [x] Fix breadcrumb JSON-LD URLs (absolute_url)
### API Organisateur (portail orga + scanner mobile)
#### Authentification & clés API
- [ ] Ajouter un champ `apiKey` (string 64, unique, nullable) à l'entité User + migration
- [ ] Page /mon-compte/api : générer, afficher, régénérer, révoquer la clé API (bin2hex(random_bytes(32)))
- [ ] Créer un `ApiKeyAuthenticator` custom Symfony (header `X-API-Key`) pour les routes `/api/*`
- [ ] Rate limiting spécifique API (60 req/min par clé)
- [ ] Audit log à chaque génération/révocation de clé API
#### Événements
- [ ] GET `/api/events` : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
- [ ] GET `/api/events/{id}` : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
- [ ] GET `/api/events/{id}/stats` : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)
#### Commandes
- [ ] GET `/api/events/{id}/orders` : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
- [ ] GET `/api/events/{id}/orders?status=paid` : filtrage par statut (pending, paid, cancelled, refunded)
- [ ] GET `/api/orders/{orderNumber}` : détail d'une commande avec items et tickets générés
#### Scanner (application mobile)
- [ ] GET `/api/events/{id}/tickets` : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
- [ ] POST `/api/scan` : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
- [ ] POST `/api/scan/verify` : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
- [ ] GET `/api/events/{id}/scan-stats` : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)
#### Billets & Stock
- [ ] GET `/api/events/{id}/billets` : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
- [ ] PATCH `/api/billets/{id}/stock` : modifier le stock d'un billet (body: {quantity})
#### Export
- [ ] GET `/api/events/{id}/export/orders.csv` : export CSV des commandes de l'événement
- [ ] GET `/api/events/{id}/export/tickets.csv` : export CSV des billets/entrées scannées
#### Réponses & format
- [ ] Toutes les réponses en JSON avec structure uniforme : `{success: bool, data: {...}, error: ?string}`
- [ ] Pagination sur les listes (query params: page, limit, max 100)
- [ ] Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
- [ ] Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes
#### Documentation & SDK
- [ ] Générer un fichier `api-spec.json` (OpenAPI 3.1) décrivant tous les endpoints
- [ ] Page /mon-compte/api/documentation : afficher la doc interactive (swagger-ui ou redoc)
- [ ] Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)
### Billetterie — Manquants
- [x] Race condition stock : verrouillage pessimiste (SELECT FOR UPDATE) pour éviter survente en cas de commandes simultanées
- [x] Remboursement partiel : supporter les refunds partiels Stripe (actuellement tout est marqué remboursé)
- [x] Désactiver le bouton "Commander" si l'événement est passé (vérifier endAt côté template + serveur)
- [x] Idempotency key sur PaymentIntent::create pour éviter les doubles charges
- [x] Déduplication des webhooks Stripe (stocker event.id pour ignorer les doublons)
- [x] Validation email (filter_var FILTER_VALIDATE_EMAIL) dans OrderController guest flow et RegistrationController
- [x] Validation JSON robuste dans OrderController::create (json_last_error, structure du panier)
- [x] Expiration des invitations organisateur (token expiré après 7 jours)
- [x] Audit log pour les opérations CRUD événement/catégorie/billet (actuellement seuls paiements/commandes sont loguées)
- [x] Externaliser les taux Stripe (0.015 + 0.25€) et email admin (contact@e-cosplay.fr) dans .env/services.yaml
### UX — Manquants
- [x] Confirmation (data-confirm) sur suppression catégorie, billet, sous-compte, invitation admin
- [x] Loading state + disable du bouton paiement après clic (éviter double soumission)
- [x] Préserver les paramètres de recherche (?q=) dans les liens de pagination KnpPaginator (déjà géré par défaut par KnpPaginator)
- [x] Feedback utilisateur sur erreur panier (cart.js : afficher un message si la création commande échoue)
- [x] Feedback utilisateur sur sauvegarde design billet (billet-designer.js : aucun retour succès/erreur)
- [x] Message "Rupture de stock" / "Bientot en rupture" en temps réel sur la page événement
- [x] Bouton "Retour à l'événement" sur la page /paiement
### Accessibilité
- [x] Ajouter les attributs ARIA sur les onglets (role=tablist, role=tab, aria-selected, keyboard nav)
- [x] Ajouter aria-label sur les boutons +/- du panier et les boutons toolbar éditeur
- [x] Rendre les boutons toolbar de l'éditeur accessibles au clavier (tabindex)
### Sécurité & Performance
- [x] Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
- [x] CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
- [x] Cache Meilisearch : invalider quand un événement est modifié (déjà fait via EventIndexService::indexEvent)
- [x] Optimiser les requêtes N+1 (stats tab, billets par catégorie)
- [x] Sanitisation HTML de l'éditeur : filtrer aussi les attributs (editor.js sanitizeNode ne filtre que les tags)
- [x] Timeout sur le polling Stripe dans stripe-payment.js (actuellement boucle infinie possible)
- [x] Rate limiting sur l'accès commande publique (/commande/{orderNumber}/{token})
### JS / Assets
- [x] Ajouter .catch() sur tous les fetch() sans error handler (sortable.js, billet-designer.js)
- [x] Ajouter un timeout/max retries sur waitForStripe() dans stripe-payment.js
### Tests
- [x] Couverture PHP : 92%+ (575 tests, 0 failures — services/entities/subscribers à 100%, controllers à 95%+)
- [x] Atteindre 100% de couverture JS (100% lines, 99.47% stmts, 93% branches)
- [x] Ajouter des tests pour le flow d'inscription via invitation
- [x] Ajouter des tests pour AuditService, ExportService, InvoiceService
- [x] Ajouter des tests pour les webhooks Stripe (payment_failed, charge.refunded)
### Infrastructure
- [x] Configurer les crons pour les backups automatiques (DB + uploads, toutes les 30 min, rétention 1 jour)
- [x] Ajouter le monitoring des queues Messenger (commande + cron toutes les heures + email admin)
- [x] Tâche planifiée de vérification de cohérence de l'index Meilisearch
Reference in New Issue View Git Blame Copy Permalink