nilsjohan/recipe-app
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: implement alias-scope management for admin, enhance category chip handling, and upgrade dependencies
Test Suite / backend-pr-quick (push) Has been skipped
Details
Test Suite / quick-import-pr-quick (push) Has been skipped
Details
Test Suite / backend-full (push) Successful in 1m40s
Details
Test Suite / flutter-quality (push) Successful in 1m44s
Details

Browse Source
This commit is contained in:
Nils-Johan Gynther
2026-05-12 22:24:26 +02:00
parent 4492d7aa1c
commit 0da4bbf4cf
3 changed files with 186 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
TEKNISK_BESKRIVNING.md
+43
View File
@@ -2026,3 +2026,46 @@ Microservice-importer ska använda SQLite som databas, av samma skäl som co
## 2026-05-10: Admin-inventarie (CRUD, merge, filter, sortering, preview, säkerhet), user-scope, IDOR-skydd, säkerhetshärdning, optimeringar och utökad testtäckning är nu genomförda och dokumenterade i README, TEKNISK_BESKRIVNING, SÄKERHETSHÄRDNINGSPLAN och SESSIONLOGGAR.
## 2026-05-12: Alias-scopehantering (admin), kategori-chip, beroendehärdning och quality-gates
### Alias-scopehantering (admin → global)
- **Ny backend-regel:** Admin kan ändra ett privat alias till globalt via `PATCH /receipt-alias/:id`. Vanliga användare blockeras med `ForbiddenException` om de försöker ändra `isGlobal`.
- **Global → privat skyddad:** Om ett globalt alias saknar `ownerId` returneras `BadRequestException` vid försök att göra det privat — systemet hindrar föräldralösa privata alias.
- **DTO utökat:** `UpdateReceiptAliasDto` har fått `isGlobal?: boolean` med `@IsBoolean()`.
- **Admin-UI:** Admin alias-panelen visar nu en switch för att höja ett privat alias till globalt. Switchen är låst (disabled) om aliaset redan är globalt — riktning är enbart privat → global. Bekräftelse-chip visas temporärt (6 s) i listan efter scope-byte.
- **Tester:** Nya tester täcker:
- Admin kan höja privat → global.
- Vanlig användare blockeras från scope-ändring.
- Global → privat utan owner ger `BadRequestException`.
- Controller delegerar korrekt DTO med `isGlobal` till service.
### Kategori-chip
- Fallback-chip för tom kategoriväg returnerar nu `SizedBox.shrink()` globalt i den gemensamma chip-buildern — "okänd"-chip visas inte längre i admin- eller importpaneler.
### Beroendehärdning (Nest 11 + multer 2.1.1)
- Backend uppgraderat till **NestJS 11** (`@nestjs/common/core/platform-express/testing/jwt/passport` 11.x).
- `multer` uppgraderat till **2.1.1** — eliminerar tidigare high-severity CVE i transitivt beroende.
- `@types/express` uppgraderat till **5.0.5**, `@nestjs/cli` **11.0.21**, `@nestjs/schematics` **11.1.0**.
- `JWT_SECRET` fail-fast check tillagd i `jwt.strategy.ts`; `JWT_SECRET` satt i CI-env.
- `npm audit --audit-level=high` rapporterar **0 sårbarheter**.
### Quality-gates (npm scripts + CI)
Nya scripts i `backend/package.json`:
| Script | Kommando |
|---|---|
| `prisma:validate` | `prisma validate --schema prisma/schema.prisma` |
| `typecheck` | `tsc --noEmit` |
| `audit:high` | `npm audit --audit-level=high` |
| `quality:ci` | Kedja: validate → generate → typecheck → test → build → audit |
CI-workflow (`.gitea/workflows/test.yml`) uppdaterad:
- Alla Prisma-steg använder nu `npm run prisma:validate`.
- Audit-steg använder `npm run audit:high`.
- Nytt **typecheck-steg** tillagt i både PR-snabbjobb och push-fulljobb.
- `npm ci` används genomgående (var `npm install` i delar av flödet).