Lars
c1243651bb
All checks were successful
Deploy Development / deploy (push) Successful in 39s
Test Suite / pytest-backend (push) Successful in 36s
Test Suite / lint-backend (push) Successful in 0s
Test Suite / build-frontend (push) Successful in 12s
Test Suite / playwright-tests (push) Successful in 56s
- Added new API endpoints for managing training modules, including listing, creating, updating, and deleting modules. - Implemented the ability to apply training modules to training units, allowing users to copy module content into specific sections. - Enhanced the frontend with new pages for managing training modules and integrated modal functionality for applying modules within the training planning page. - Updated version to 0.8.97 and adjusted database schema version accordingly. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
5.8 KiB
5.8 KiB
Endpoint-Audit: Mandanten & Governance
Fortlaufend gemäß ACCESS_LAYER_AND_GOVERNANCE_PLAN.md Stufe A–C.
| Router / Bereich | Beispiel-Endpunkt | tenant-relevant | Depends(get_tenant_context) / Kontext |
Governance geprüft (Liste+Detail) | Notizen |
|---|---|---|---|---|---|
| profiles | GET /api/profiles/me |
ja | resolve_tenant_context inline (invalid_header_policy=ignore) |
teils | + effective_club_id; veralteter Header bricht Refresh nicht |
| profiles | GET /api/profiles, GET /profiles/{pid}, POST /profiles, DELETE /profiles/{pid} |
ja/teils | require_auth |
ja | Liste nur Plattform-Admin; GET nach ID eigenes Profil oder Admin; POST/DELETE nur Admin |
| profiles | PUT /api/profiles/{id}, PUT /api/profile |
ja | get_tenant_context |
active_club_id Mitgliedschaft |
Validiert X-Active-Club-Id konsistent zu Mitgliedschaft |
| clubs | geschützte /api/clubs*, /divisions*, /groups* |
ja | get_tenant_context |
Mitgliedschaft / can_manage_* |
Öffentlich: /clubs/public-directory ohne Auth |
| club_memberships | /clubs/{id}/members* |
ja | get_tenant_context |
ja | |
| club_join_requests | /me/club-join-requests, /clubs/{id}/join-requests* |
ja | get_tenant_context |
ja | |
| exercises | PATCH /api/exercises/bulk-metadata |
ja | get_tenant_context |
ja | Liste: UI-Mehrfachwahl; bis 500 IDs; nur Ersteller oder Plattform-Admin |
| exercises | GET .../media/{mid}/file |
ja | get_tenant_context_flexible |
ja (wie Übung lesen) | Datei oder ?ssetoken; kein anonymes /media/ ohne ALLOW_PUBLIC_MEDIA_STATIC |
| exercises | übrige geschützte /api/exercises* |
ja | get_tenant_context |
ja | PUT Einzelübung: bei Sichtbarkeit official Medien-§4.2 (422: Lifecycle/Promotion/Copyright) |
| exercise_progression_graphs | /api/exercise-progression-graphs* |
ja | get_tenant_context |
Liste wie Bibliothek; Schreiben Ersteller/Plattform-Admin | Kanten: Lesen wenn Graph lesbar |
| training_planning | alle geschützten Endpoints | ja | get_tenant_context |
ja | Vorlagen-Liste wie Übungen; POST Vorlage Default club_id |
| training_modules | /api/training-modules* |
ja | get_tenant_context |
ja | Bibliotheks-Module wie Vorlagen/Rahmen; POST Default club_id bei visibility=club |
| training_framework_programs | alle geschützten Endpoints | ja | get_tenant_context |
ja | Liste + POST Default club_id |
| admin_users | GET /api/admin/users |
Plattform | require_auth |
Admin-Rolle | EXEMPT check_access_layer_hints.py |
| platform_media_storage | GET/PUT /api/admin/platform-media-storage |
Plattform | require_auth |
GET: is_platform_admin; PUT: nur superadmin |
Relativer Pfad unter MEDIA_ROOT; keine Secrets; EXEMPT wie admin_users |
| media_assets | POST /api/media-assets/{id}/lifecycle |
ja | get_tenant_context |
ja | u. a. trash_soft mit Trainer-nur-privat-Eigentum; purge nur Superadmin; Superadmin: superadmin_force_lifecycle, superadmin_hard_delete |
| media_assets | GET /api/media-assets |
ja | get_tenant_context |
ja | optional lifecycle; Standard active; Liste inkl. copyright_notice; Papierkorb-Ansicht nur sichtbare Mandanten-Assets |
| media_assets | POST /api/media-assets/bulk-lifecycle |
ja | get_tenant_context |
ja | Mehrfach-Lifecycle; gleiche Regeln wie Einzel-POST |
| media_assets | POST /api/media-assets/bulk-patch |
ja | get_tenant_context |
ja | Copyright / Bezeichner / Sichtbarkeit für viele IDs; gemischte Fehler in failed[] |
| media_assets | PATCH /api/media-assets/{id} |
ja | get_tenant_context |
ja | Copyright, original_filename, optional visibility/club_id; Rechte pro Stufe |
| media_assets | GET /api/media-assets/{id}/file |
ja | get_tenant_context_flexible |
ja | aktiv: Bibliotheks-Sichtbarkeit; trash_soft/trash_hidden: wie Lifecycle-Verwaltung |
| exercises | POST /api/exercises/{id}/media/from-asset |
ja | get_tenant_context |
ja | Verknüpfung exercise_media → bestehendes media_asset_id; Bearbeitungsrecht Übung + Leserecht Archiv |
| auth | /api/auth/* |
nein | — | Login/Session | EXEMPT |
| catalogs | Katalog-CRUD | nein (global) | require_auth |
Admin/Trainer je Endpoint | EXEMPT; bei späterem club_id nachziehen |
| skills | /api/skills* |
nein (global) | require_auth |
je Endpoint | EXEMPT |
| maturity_models | Admin-Matrix | nein (global) | require_auth |
Admin für Schreiben; GET …/{id} nur Portal-Admin |
EXEMPT |
| matrix_stack_bundle | Export/Import Bundles | Plattform/Test | require_auth |
Admin | EXEMPT |
| import_wiki / import_wiki_admin | Wiki-Import | Werkzeug | require_auth/Admin |
Admin | EXEMPT |
Legende: Router auf der EXEMPT-Liste des Scripts sind globale oder Auth-only-Pfade; sobald ein Router Vereinsdaten oder Bibliotheks-Sichtbarkeit erhält, EXEMPT entfernen und get_tenant_context einführen.
Pflege / Drift: Änderungen an Mandanten, Governance (visibility/club_id) oder neuen inhaltsbezogenen Endpoints → eine Zeile in dieser Tabelle anpassen und PRODUCTION_READINESS_AUDIT_2026-05.md prüfen.
Letzte Änderung: 2026-05-12 — Trainingsmodule (/api/training-modules*); Governance wie Planungsbibliothek.
Changelog (Fortführung)
- 2026-05-12:
training_modulesRouter dokumentiert. - 2026-05-07: Legacy
GET/PUT /api/profileauf Session-Profil gehärtet; OpenAPI/Health-Ready Produktionsdefaults; Security-Release-Tests + CI-Schrittsecurity_release_checks.py— siehePRODUCTION_READINESS_AUDIT_2026-05.md. - 2026-05-07 (Phase 3): CSP SPA (nginx); API
nosniff-Middleware — siehePRODUCTION_READINESS_AUDIT_2026-05.md.
Hinweis GET /training-units
Kein impliziter Filter nach effective_club_id (Multi-Verein-Kalender); bei Bedarf club_id Query setzen.