feat: implement matchedVia tracking for receipt items and enhance user alias management
Test Suite / test (24.15.0) (push) Has been cancelled
Test Suite / test (24.15.0) (push) Has been cancelled
This commit is contained in:
Nils-Johan Gynther
@@ -42,6 +42,17 @@ All detaljhistorik och djup teknisk bakgrund finns i respektive tekniska dokumen
|
||||
|
||||
## Framtida förbättringsområden
|
||||
|
||||
### Säkerhet: httpOnly cookies för Flutter Web
|
||||
|
||||
Idag lagras JWT-token i localStorage via SharedPreferences i Flutter Web. För att minska XSS-risk bör backend och Flutter Web stödja httpOnly-cookies för tokens. Detta kräver:
|
||||
- Backend: endpoint för att sätta och läsa httpOnly-cookie vid login.
|
||||
- Flutter Web: anpassning så att token inte läses från localStorage utan session hanteras via cookie.
|
||||
Detta är en större arkitekturändring och endast relevant för webben.
|
||||
|
||||
### Säkerhet: Gitea webhook-signaturvalidering
|
||||
|
||||
Om Gitea-webhooks används, implementera endpoint i backend som validerar `X-Gitea-Signature` med timing-safe jämförelse. Lägg till `GITEA_WEBHOOK_SECRET` i .env.example. Se säkerhetshärdningsplanen för kodexempel.
|
||||
|
||||
### Alternativa ingredienser — migrering till relationsmodell (Option B)
|
||||
|
||||
Nuläge: `RecipeIngredient.alternativeProductIds` lagras som JSON-kolumn (Option A).
|
||||
|
||||
Reference in New Issue
Block a user