admin/e-ticket
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
42d06dd49f9291d175fe7b4de6199302cd9563fc
e-ticket/TASK_CHECKUP.md
Serreau Jovann 04927ec988 Complete TASK_CHECKUP: security, UX, tests, coverage, accessibility, config externalization 
Billetterie:
- Partial refund support (STATUS_PARTIALLY_REFUNDED, refundedAmount field, migration)
- Race condition fix: PESSIMISTIC_WRITE lock on stock decrement in transaction
- Idempotency key on PaymentIntent::create, reuse existing PI if stripeSessionId set
- Disable checkout when event ended (server 400 + template hide)
- Webhook deduplication via cache (24h TTL on stripe event.id)
- Email validation (filter_var) in OrderController guest flow
- JSON cart validation (structure check before processing)
- Invitation expiration after 7 days (isExpired method + landing page message)
- Stripe Checkout fallback when JS fails to load (noscript + redirect)

Config externalization:
- Move Stripe fees (STRIPE_FEE_RATE, STRIPE_FEE_FIXED) and admin email (ADMIN_EMAIL) to .env/services.yaml
- Replace all hardcoded contact@e-cosplay.fr across 13 files
- MailerService: getAdminEmail()/getAdminFrom(), default $from=null resolves to admin

UX & Accessibility:
- ARIA tabs: role=tablist/tab/tabpanel, aria-selected, keyboard nav (arrows, Home, End)
- aria-label on cart +/- buttons and editor toolbar buttons
- tabindex=0 on editor toolbar buttons for keyboard access
- data-confirm handler in app.js (was only in admin.js)
- Cart error feedback on checkout failure
- Billet designer save feedback (loading/success/error states)
- Stock polling every 30s with rupture/low stock badges
- Back to event link on payment page

Security:
- HTML sanitizer: BLOCKED_TAGS list (script, style, iframe, svg, etc.) - content fully removed
- Stripe polling timeout (15s max) with fallback redirect
- Rate limiting on public order access (20/5min)
- .catch() on all fetch() calls (sortable, billet-designer)

Tests (92% PHP, 100% JS lines):
- PCOV added to dev Dockerfile
- Test DB setup: .env.test with DATABASE_URL, Redis auth, Meilisearch key
- Rate limiter disabled in test env
- Makefile: test_db_setup, test_db_reset, run_test_php, run_test_coverage_php/js
- New tests: InvitationFlowTest (21), AuditServiceTest (4), ExportServiceTest (9), InvoiceServiceTest (4)
- New tests: SuspendedUserSubscriberTest, RateLimiterSubscriberTest, MeilisearchServiceTest
- New tests: Stripe webhook payment_failed (6) + charge.refunded (6)
- New tests: BilletBuyer refund, User suspended, OrganizerInvitation expiration
- JS tests: stock polling (6), data-confirm (2), copy-url restore (1), editor ARIA (2), XSS (9), tabs keyboard (9)
- ESLint + PHP CS Fixer: 0 errors
- SonarQube exclusions aligned with vitest coverage config

Infra:
- Meilisearch consistency command (app:meilisearch:check-consistency --fix) + cron daily 3am
- MeilisearchService: getAllDocumentIds(), listIndexes()

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-03-23 11:14:06 +01:00

9.2 KiB
Raw Blame History

Task Checkup - E-Ticket

A faire

Billetterie & Commandes

  • Décrémenter la quantité disponible du billet après achat (stock management)
  • Empêcher l'achat si stock épuisé (vérification côté serveur)
  • Ajouter un email de notification à l'orga quand une commande est passée
  • Ajouter un email de notification à l'orga quand une commande est annulée/remboursée
  • Gérer l'expiration des commandes pending (cron pour annuler après X minutes)
  • Ajouter le webhook payment_intent.payment_failed pour gérer les échecs
  • Ajouter le webhook charge.refunded pour mettre à jour le statut automatiquement
  • Vérifier le type de billet (billet/reservation_brocante/vote) selon l'offre orga à la création

Invitations Organisateur

  • Bloquer l'envoi d'invitations (billets) si Stripe n'est pas validé — non nécessaire car invitations = gratuit (pas de paiement Stripe)
  • Après inscription via invitation, connecter automatiquement l'utilisateur
  • Empêcher la double inscription (même email) avec message clair et redirect vers login
  • Ajouter une notification admin quand un orga accepte/refuse une invitation

Paiements & Finances

  • Ajouter le dashboard financier pour l'orga (encaissé, en attente, remboursé, com E-Ticket, com Stripe, net perçu)
  • Ajouter les virements Stripe (payouts) dans l'onglet de l'orga (déjà en place)
  • Générer un récapitulatif mensuel des ventes (export CSV + PDF, admin et orga)

Admin

  • Dashboard admin : stats globales (CA global, commission E-Ticket, commission Stripe, nb commandes, nb billets, nb orgas, revenus net)
  • Admin : liste de toutes les commandes avec filtres (recherche, statut, KPIs)
  • Admin : pouvoir suspendre/réactiver un organisateur (badge, bouton toggle, redirect si suspendu, audit log)
  • Admin : pouvoir modifier l'offre/commission d'un orga existant
  • Vérifier que les permissions des sous-comptes sont respectées (scanner, events, tickets)
  • Admin : logs des actions importantes (audit trail: commande, paiement, annulation, remboursement)

UX & Pages

  • Page /tarifs : détailler les 3 offres (free/basic/custom) avec commissions et exemples
  • Ajouter la recherche d'événements sur la homepage
  • Ajouter le filtrage par date/ville sur /evenements
  • Responsive : pages publiques OK à 320px (flex-wrap, overflow-x-auto, breakpoints)
  • Ajouter les métadonnées OpenGraph sur toutes les pages publiques (og:title, og:description, og:type, og:url, og:image, twitter:card)
  • Ajouter le sitemap dynamique avec les événements en ligne
  • Fix breadcrumb JSON-LD URLs (absolute_url)

API Organisateur (portail orga + scanner mobile)

Authentification & clés API

  • Ajouter un champ apiKey (string 64, unique, nullable) à l'entité User + migration
  • Page /mon-compte/api : générer, afficher, régénérer, révoquer la clé API (bin2hex(random_bytes(32)))
  • Créer un ApiKeyAuthenticator custom Symfony (header X-API-Key) pour les routes /api/*
  • Rate limiting spécifique API (60 req/min par clé)
  • Audit log à chaque génération/révocation de clé API

Événements

  • GET /api/events : liste des événements de l'orga (id, title, startAt, endAt, address, city, isOnline, isSecret)
  • GET /api/events/{id} : détail d'un événement avec catégories et billets (nom, prix, quantité, quantité vendue, type)
  • GET /api/events/{id}/stats : stats de l'événement (CA, nb commandes, nb billets vendus, nb billets scannés)

Commandes

  • GET /api/events/{id}/orders : liste des commandes (orderNumber, status, firstName, lastName, email, totalHT, paidAt, items[])
  • GET /api/events/{id}/orders?status=paid : filtrage par statut (pending, paid, cancelled, refunded)
  • GET /api/orders/{orderNumber} : détail d'une commande avec items et tickets générés

Scanner (application mobile)

  • GET /api/events/{id}/tickets : liste des billets générés (reference, billetName, state, isInvitation, firstScannedAt, buyerName)
  • POST /api/scan : scanner un billet (body: {reference}) → decode QR, vérifier reference, vérifier state, marquer scanné (firstScannedAt), gérer sortie définitive (hasDefinedExit), retourner infos billet + acheteur
  • POST /api/scan/verify : vérifier un billet sans le scanner (lecture seule, retourne state + infos)
  • GET /api/events/{id}/scan-stats : stats de scan temps réel (nb scannés, nb restants, nb invalides, dernier scan)

Billets & Stock

  • GET /api/events/{id}/billets : liste des billets avec stock (nom, prix, quantity, quantitéVendue, type, isGeneratedBillet)
  • PATCH /api/billets/{id}/stock : modifier le stock d'un billet (body: {quantity})

Export

  • GET /api/events/{id}/export/orders.csv : export CSV des commandes de l'événement
  • GET /api/events/{id}/export/tickets.csv : export CSV des billets/entrées scannées

Réponses & format

  • Toutes les réponses en JSON avec structure uniforme : {success: bool, data: {...}, error: ?string}
  • Pagination sur les listes (query params: page, limit, max 100)
  • Codes HTTP standards (200, 201, 400, 401, 403, 404, 429)
  • Vérifier que l'orga ne peut accéder qu'à ses propres événements/commandes

Documentation & SDK

  • Générer un fichier api-spec.json (OpenAPI 3.1) décrivant tous les endpoints
  • Page /mon-compte/api/documentation : afficher la doc interactive (swagger-ui ou redoc)
  • Tests PHPUnit pour tous les endpoints API (auth, CRUD, scan, edge cases)

Billetterie — Manquants

  • Race condition stock : verrouillage pessimiste (SELECT FOR UPDATE) pour éviter survente en cas de commandes simultanées
  • Remboursement partiel : supporter les refunds partiels Stripe (actuellement tout est marqué remboursé)
  • Désactiver le bouton "Commander" si l'événement est passé (vérifier endAt côté template + serveur)
  • Idempotency key sur PaymentIntent::create pour éviter les doubles charges
  • Déduplication des webhooks Stripe (stocker event.id pour ignorer les doublons)
  • Validation email (filter_var FILTER_VALIDATE_EMAIL) dans OrderController guest flow et RegistrationController
  • Validation JSON robuste dans OrderController::create (json_last_error, structure du panier)
  • Expiration des invitations organisateur (token expiré après 7 jours)
  • Audit log pour les opérations CRUD événement/catégorie/billet (actuellement seuls paiements/commandes sont loguées)
  • Externaliser les taux Stripe (0.015 + 0.25€) et email admin (contact@e-cosplay.fr) dans .env/services.yaml

UX — Manquants

  • Confirmation (data-confirm) sur suppression catégorie, billet, sous-compte, invitation admin
  • Loading state + disable du bouton paiement après clic (éviter double soumission)
  • Préserver les paramètres de recherche (?q=) dans les liens de pagination KnpPaginator (déjà géré par défaut par KnpPaginator)
  • Feedback utilisateur sur erreur panier (cart.js : afficher un message si la création commande échoue)
  • Feedback utilisateur sur sauvegarde design billet (billet-designer.js : aucun retour succès/erreur)
  • Message "Rupture de stock" / "Bientot en rupture" en temps réel sur la page événement
  • Bouton "Retour à l'événement" sur la page /paiement

Accessibilité

  • Ajouter les attributs ARIA sur les onglets (role=tablist, role=tab, aria-selected, keyboard nav)
  • Ajouter aria-label sur les boutons +/- du panier et les boutons toolbar éditeur
  • Rendre les boutons toolbar de l'éditeur accessibles au clavier (tabindex)

Sécurité & Performance

  • Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
  • CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
  • Cache Meilisearch : invalider quand un événement est modifié (déjà fait via EventIndexService::indexEvent)
  • Optimiser les requêtes N+1 (stats tab, billets par catégorie)
  • Sanitisation HTML de l'éditeur : filtrer aussi les attributs (editor.js sanitizeNode ne filtre que les tags)
  • Timeout sur le polling Stripe dans stripe-payment.js (actuellement boucle infinie possible)
  • Rate limiting sur l'accès commande publique (/commande/{orderNumber}/{token})

JS / Assets

  • Ajouter .catch() sur tous les fetch() sans error handler (sortable.js, billet-designer.js)
  • Ajouter un timeout/max retries sur waitForStripe() dans stripe-payment.js

Tests

  • Couverture PHP : 92%+ (575 tests, 0 failures — services/entities/subscribers à 100%, controllers à 95%+)
  • Atteindre 100% de couverture JS (100% lines, 99.47% stmts, 93% branches)
  • Ajouter des tests pour le flow d'inscription via invitation
  • Ajouter des tests pour AuditService, ExportService, InvoiceService
  • Ajouter des tests pour les webhooks Stripe (payment_failed, charge.refunded)

Infrastructure

  • Configurer les crons pour les backups automatiques (DB + uploads, toutes les 30 min, rétention 1 jour)
  • Ajouter le monitoring des queues Messenger (commande + cron toutes les heures + email admin)
  • Tâche planifiée de vérification de cohérence de l'index Meilisearch
Reference in New Issue View Git Blame Copy Permalink