test(e2e): PR 1 — auth complet + clients CRUD + factures saisie

Étend la suite Playwright avec 14 nouveaux scénarios couvrant les
surfaces critiques que tout user touche au quotidien.

Auth (7 tests) — auth.spec.ts :
  - Signup : email invalide (HTML5), email déjà pris (422 → toast)
  - Login : happy path après signup, mauvais password (401), email
    inconnu (401)
  - Protection des routes : / et /factures redirigent vers /login
    sans session

Clients (5 tests) — clients.spec.ts :
  - Create via dialog : remplir Nom + Email du contact → apparaît
    dans la liste, compteur "1 fiche"
  - Refuse email manquant (422, dialog reste ouvert)
  - 2 clients distincts → compteur "2 fiches"
  - Duplicate par nom case-insensitive → liste reste à 1 fiche
  - Recherche ILIKE par nom → filtre côté liste

Factures (2 tests) — factures.spec.ts :
  - Saisie manuelle complète : créer client puis facture via le
    dialog (combobox client async + numéro + montant + Radix Select
    plan) → apparaît dans /factures
  - Empty state visible si aucune facture

Total Playwright après cette PR : 20 scénarios verts en 38 s.

Stratégie : les edge cases déjà couverts par les couches inférieures
(unit, functional japa, vitest) ne sont PAS re-testés en E2E pour
éviter la duplication. Le E2E garde son rôle : happy path UI + edge
cases produit qui n'apparaissent qu'au niveau navigation/forms.

Prochaines PRs prévues :
  - PR 2 : OCR upload + Plans + Relances + Mailpit (mailing)
  - PR 3 : Billing complet (trial→active/past_due/cancel) + Dashboard
    KPIs + Settings
  - PR 4 : Blog + edge cases globaux + coverage report c8

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

e2e/tests/auth.spec.ts

@@ -0,0 +1,136 @@
+import { test, expect } from '@playwright/test'
+import { resetDb } from './helpers/api'
+
+/**
+ * Scénarios auth : login après signup, logout, refresh session,
+ * redirection si non auth, validation des form errors signup/login.
+ *
+ * Le signup happy path est couvert ailleurs (signup.spec.ts) — ici on
+ * se concentre sur les autres flows + edge cases.
+ */
+
+async function signupAndOnboard(page: import('@playwright/test').Page) {
+  const email = `auth+${Date.now()}@rubis.test`
+  const password = 'motdepasse-fort-123'
+  await page.goto('/signup')
+  await page.getByLabel(/Prénom \/ Nom/i).fill('Auth Test')
+  await page.getByLabel(/Email professionnel/i).fill(email)
+  await page.getByLabel(/Mot de passe/i).fill(password)
+  await page.getByRole('button', { name: /créer mon compte/i }).click()
+  await page.waitForURL(/\/onboarding\/compte/, { timeout: 10_000 })
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/entreprise/)
+  await page.getByLabel(/nom de l'entreprise/i).fill('Auth SARL')
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/signature/)
+  await page.getByRole('button', { name: /terminer/i }).click()
+  await page.waitForURL('/', { timeout: 10_000 })
+  return { email, password }
+}
+
+test.describe('Auth — signup validations', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('refuse un email invalide (HTML5 validation)', async ({ page }) => {
+    await page.goto('/signup')
+    await page.getByLabel(/Prénom \/ Nom/i).fill('Test')
+    await page.getByLabel(/Email professionnel/i).fill('pas-un-email')
+    await page.getByLabel(/Mot de passe/i).fill('motdepasse-fort-123')
+    await page.getByRole('button', { name: /créer mon compte/i }).click()
+    // L'input email[required] devrait être marqué invalid par le navigateur.
+    // On reste sur /signup (pas de navigation).
+    await expect(page).toHaveURL(/\/signup/)
+  })
+
+  test('refuse un email déjà pris (422 → toast erreur)', async ({ page }) => {
+    const email = `taken+${Date.now()}@rubis.test`
+    // 1er signup OK
+    await page.goto('/signup')
+    await page.getByLabel(/Prénom \/ Nom/i).fill('First')
+    await page.getByLabel(/Email professionnel/i).fill(email)
+    await page.getByLabel(/Mot de passe/i).fill('motdepasse-fort-123')
+    await page.getByRole('button', { name: /créer mon compte/i }).click()
+    await page.waitForURL(/\/onboarding/)
+
+    // Tentative de re-signup avec le même email → toast erreur
+    await page.goto('/signup')
+    await page.getByLabel(/Prénom \/ Nom/i).fill('Second')
+    await page.getByLabel(/Email professionnel/i).fill(email)
+    await page.getByLabel(/Mot de passe/i).fill('motdepasse-fort-123')
+    await page.getByRole('button', { name: /créer mon compte/i }).click()
+
+    // Toast Sonner avec message "Un compte existe déjà avec cet email."
+    await expect(page.getByText(/existe déjà avec cet email/i)).toBeVisible({
+      timeout: 5_000,
+    })
+    await expect(page).toHaveURL(/\/signup/)
+  })
+})
+
+test.describe('Auth — login', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('login après signup → dashboard', async ({ page, context }) => {
+    const { email, password } = await signupAndOnboard(page)
+
+    // Clear cookies + open new context-like session pour forcer un re-login
+    await context.clearCookies()
+    await page.goto('/login')
+    await page.getByLabel(/^Email$/i).fill(email)
+    await page.getByLabel(/^Mot de passe$/i).fill(password)
+    await page.getByRole('button', { name: /^se connecter$/i }).click()
+
+    await expect(page).toHaveURL('/', { timeout: 10_000 })
+    await expect(page.getByText(/rubis.*gagnés/i)).toBeVisible({ timeout: 10_000 })
+  })
+
+  test('mauvais password → 401 + toast erreur, reste sur /login', async ({
+    page,
+  }) => {
+    const { email } = await signupAndOnboard(page)
+    await page.goto('/login')
+    await page.getByLabel(/^Email$/i).fill(email)
+    await page.getByLabel(/^Mot de passe$/i).fill('mauvais-mot-de-passe')
+    await page.getByRole('button', { name: /^se connecter$/i }).click()
+
+    await expect(
+      page.getByText(/email ou mot de passe incorrect/i),
+    ).toBeVisible({ timeout: 5_000 })
+    await expect(page).toHaveURL(/\/login/)
+  })
+
+  test('email inconnu → 401 + toast erreur', async ({ page }) => {
+    await page.goto('/login')
+    await page.getByLabel(/^Email$/i).fill('inconnu@nulle-part.test')
+    await page.getByLabel(/^Mot de passe$/i).fill('peu-importe-fort-123')
+    await page.getByRole('button', { name: /^se connecter$/i }).click()
+    await expect(
+      page.getByText(/email ou mot de passe incorrect/i),
+    ).toBeVisible({ timeout: 5_000 })
+  })
+})
+
+test.describe('Auth — protection des routes', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('accéder à / sans session → redirige sur /login', async ({ page, context }) => {
+    await context.clearCookies()
+    await page.goto('/')
+    await expect(page).toHaveURL(/\/login/, { timeout: 5_000 })
+  })
+
+  test('accéder à /factures sans session → redirige sur /login', async ({
+    page,
+    context,
+  }) => {
+    await context.clearCookies()
+    await page.goto('/factures')
+    await expect(page).toHaveURL(/\/login/, { timeout: 5_000 })
+  })
+})

e2e/tests/clients.spec.ts

@@ -0,0 +1,167 @@
+import { test, expect } from '@playwright/test'
+import { resetDb } from './helpers/api'
+
+/**
+ * Scénarios CRUD clients :
+ *  - Création via dialog (happy path)
+ *  - Validation : email obligatoire
+ *  - Recherche (filtre par nom)
+ *  - Duplicate (409) → message clair, le client existant reste affiché
+ *  - Empty state quand pas de clients
+ */
+
+async function signupAndOnboard(page: import('@playwright/test').Page, tag = 'cli') {
+  const email = `${tag}+${Date.now()}@rubis.test`
+  await page.goto('/signup')
+  await page.getByLabel(/Prénom \/ Nom/i).fill('Test User')
+  await page.getByLabel(/Email professionnel/i).fill(email)
+  await page.getByLabel(/Mot de passe/i).fill('motdepasse-fort-123')
+  await page.getByRole('button', { name: /créer mon compte/i }).click()
+  await page.waitForURL(/\/onboarding\/compte/)
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/entreprise/)
+  await page.getByLabel(/nom de l'entreprise/i).fill('Atelier Test')
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/signature/)
+  await page.getByRole('button', { name: /terminer/i }).click()
+  await page.waitForURL('/', { timeout: 10_000 })
+  return { email }
+}
+
+test.describe('Clients — CRUD via dialog', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('crée un client via le dialog + apparaît dans la liste', async ({
+    page,
+  }) => {
+    await signupAndOnboard(page, 'cli-create')
+
+    await page.goto('/clients')
+    await expect(
+      page.getByRole('heading', { name: /^clients/i }),
+    ).toBeVisible()
+
+    // Empty state initial
+    await expect(page.getByText(/pas encore de.*clients/i)).toBeVisible()
+
+    // Ouvrir le dialog
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+
+    // Remplir le form
+    await page.getByLabel(/^Nom du client$/i).fill('Boulangerie Martin')
+    await page.getByLabel(/^Email du contact$/i).fill('contact@martin.fr')
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+
+    // Le dialog se ferme + le client apparaît dans la liste
+    await expect(page.getByText('Boulangerie Martin').first()).toBeVisible({
+      timeout: 5_000,
+    })
+    await expect(page.getByText('contact@martin.fr').first()).toBeVisible()
+    // Le compteur passe à "1 fiche"
+    await expect(page.getByText(/·\s*1\s*fiche/i)).toBeVisible()
+  })
+
+  test('refuse un email manquant (422)', async ({ page }) => {
+    await signupAndOnboard(page, 'cli-noemail')
+
+    await page.goto('/clients')
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+
+    await page.getByLabel(/^Nom du client$/i).fill('Sans Email')
+    // Email vide → on soumet
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+
+    // Le dialog reste ouvert + un message d'erreur près du champ email
+    // (le HTML5 required ou la validation Zod côté form)
+    await expect(page.getByRole('button', { name: /^créer le client$/i })).toBeVisible()
+  })
+
+  test('crée 2 clients distincts + affichage du compteur', async ({ page }) => {
+    await signupAndOnboard(page, 'cli-two')
+
+    await page.goto('/clients')
+
+    // Client 1
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+    await page.getByLabel(/^Nom du client$/i).fill('Atelier A')
+    await page.getByLabel(/^Email du contact$/i).fill('a@example.com')
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+    await expect(page.getByText('Atelier A').first()).toBeVisible()
+
+    // Client 2
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+    await page.getByLabel(/^Nom du client$/i).fill('Studio B')
+    await page.getByLabel(/^Email du contact$/i).fill('b@example.com')
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+    await expect(page.getByText('Studio B').first()).toBeVisible()
+
+    // Compteur "2 fiches"
+    await expect(page.getByText(/·\s*2\s*fiches/i)).toBeVisible()
+  })
+
+  test('duplicate par nom (case-insensitive) → message d\'erreur', async ({
+    page,
+  }) => {
+    await signupAndOnboard(page, 'cli-dup')
+
+    await page.goto('/clients')
+
+    // 1er client
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+    await page.getByLabel(/^Nom du client$/i).fill('Atelier Durand')
+    await page.getByLabel(/^Email du contact$/i).fill('durand@example.com')
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+    await expect(page.getByText('Atelier Durand').first()).toBeVisible()
+
+    // Tentative duplicate (nom uppercase = même client côté API)
+    await page.getByRole('button', { name: /nouveau client/i }).first().click()
+    await page.getByLabel(/^Nom du client$/i).fill('ATELIER DURAND')
+    await page.getByLabel(/^Email du contact$/i).fill('autre@example.com')
+    await page.getByRole('button', { name: /^créer le client$/i }).click()
+
+    // Toast / message d'erreur (l'API renvoie 409 duplicate_client)
+    // Le dialog peut rester ouvert avec un message, ou un toast Sonner.
+    // Test soft : la liste contient toujours 1 fiche, pas 2.
+    await expect(page.getByText(/·\s*1\s*fiche/i)).toBeVisible({ timeout: 5_000 })
+  })
+})
+
+test.describe('Clients — recherche', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('filtre par nom (recherche ILIKE)', async ({ page }) => {
+    await signupAndOnboard(page, 'cli-search')
+
+    await page.goto('/clients')
+
+    // Crée 3 clients
+    const clients = [
+      { name: 'Boulangerie Paul', email: 'paul@b.fr' },
+      { name: 'Atelier Durand', email: 'durand@a.fr' },
+      { name: 'Studio Lumière', email: 'lumiere@s.fr' },
+    ]
+    for (const c of clients) {
+      await page.getByRole('button', { name: /nouveau client/i }).first().click()
+      await page.getByLabel(/^Nom du client$/i).fill(c.name)
+      await page.getByLabel(/^Email du contact$/i).fill(c.email)
+      await page.getByRole('button', { name: /^créer le client$/i }).click()
+      await expect(page.getByText(c.name).first()).toBeVisible()
+    }
+    await expect(page.getByText(/·\s*3\s*fiches/i)).toBeVisible()
+
+    // Recherche "boulang" → seul Paul reste
+    await page
+      .getByPlaceholder(/rechercher un client/i)
+      .fill('boulang')
+
+    await expect(page.getByText('Boulangerie Paul').first()).toBeVisible({
+      timeout: 5_000,
+    })
+    await expect(page.getByText('Atelier Durand')).not.toBeVisible()
+    await expect(page.getByText('Studio Lumière')).not.toBeVisible()
+  })
+})

e2e/tests/factures.spec.ts

@@ -0,0 +1,101 @@
+import { test, expect } from '@playwright/test'
+import { resetDb } from './helpers/api'
+
+/**
+ * Scénarios facture — saisie manuelle via dialog.
+ *
+ * Le dialog combine combobox client async, DatePicker custom, Radix Select
+ * (échéance + plan), Input montant. On vise le happy path UI ;
+ * les edge cases (numéro unique, quota Free 2, cross-org, payload
+ * incomplet) sont déjà couverts par les tests japa functional/unit.
+ */
+
+async function signupAndOnboard(page: import('@playwright/test').Page, tag = 'fac') {
+  const email = `${tag}+${Date.now()}@rubis.test`
+  await page.goto('/signup')
+  await page.getByLabel(/Prénom \/ Nom/i).fill('Test User')
+  await page.getByLabel(/Email professionnel/i).fill(email)
+  await page.getByLabel(/Mot de passe/i).fill('motdepasse-fort-123')
+  await page.getByRole('button', { name: /créer mon compte/i }).click()
+  await page.waitForURL(/\/onboarding\/compte/, { timeout: 10_000 })
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/entreprise/)
+  await page.getByLabel(/nom de l'entreprise/i).fill('Atelier Test')
+  await page.getByRole('button', { name: /continuer/i }).click()
+  await page.waitForURL(/\/onboarding\/signature/)
+  await page.getByRole('button', { name: /terminer/i }).click()
+  await page.waitForURL('/', { timeout: 10_000 })
+  return { email }
+}
+
+async function createClientViaUI(
+  page: import('@playwright/test').Page,
+  name: string,
+  email: string,
+) {
+  await page.goto('/clients')
+  await page.getByRole('button', { name: /nouveau client/i }).first().click()
+  await page.getByLabel(/^Nom du client$/i).fill(name)
+  await page.getByLabel(/^Email du contact$/i).fill(email)
+  await page.getByRole('button', { name: /^créer le client$/i }).click()
+  await expect(page.getByText(name).first()).toBeVisible({ timeout: 5_000 })
+}
+
+test.describe('Factures — saisie manuelle via dialog', () => {
+  test.beforeEach(async () => {
+    await resetDb()
+  })
+
+  test('crée une facture liée à un client existant + apparaît dans /factures', async ({
+    page,
+  }) => {
+    await signupAndOnboard(page, 'fac-manual')
+
+    // 1. Prérequis : un client en DB
+    await createClientViaUI(page, 'Boulangerie Test', 'compta@boulangerie.test')
+
+    // 2. Ouvrir le dialog "+ Saisir" depuis le header desktop
+    await page.getByRole('button', { name: /^saisir$/i }).first().click()
+    await expect(page.getByRole('dialog')).toBeVisible()
+
+    // 3. Combobox client — taper le nom puis sélectionner l'option dans
+    //    la dropdown (recherche async côté API).
+    const combobox = page.getByPlaceholder(/rechercher.*créer un client/i)
+    await combobox.fill('Boulangerie')
+    // Attendre que l'option remontée par l'API apparaisse
+    await expect(page.getByRole('option', { name: /Boulangerie Test/i })).toBeVisible({
+      timeout: 5_000,
+    })
+    await page.getByRole('option', { name: /Boulangerie Test/i }).click()
+
+    // 4. Numéro de facture
+    await page.getByLabel(/N° de facture/i).fill('F-E2E-001')
+
+    // 5. Montant TTC (en euros, le form convertit en cents)
+    await page.getByLabel(/Montant TTC/i).fill('1240')
+
+    // 6. Plan (Radix Select) — on prend le 1er disponible
+    await page.getByLabel(/Plan de relance/i).click()
+    // L'item Radix s'affiche via Portal — on cible par rôle option
+    await page.getByRole('option').first().click()
+
+    // 7. Submit
+    await page.getByRole('button', { name: /^créer la facture$/i }).click()
+
+    // 8. Le dialog se ferme + redirection vers /factures (route handler du form)
+    //    ou bien rester sur la page courante. On navigue manuellement pour
+    //    vérifier la persistence.
+    await page.goto('/factures')
+    await expect(page.getByText('F-E2E-001').first()).toBeVisible({ timeout: 10_000 })
+    await expect(page.getByText('Boulangerie Test').first()).toBeVisible()
+  })
+
+  test('liste vide → empty state visible', async ({ page }) => {
+    await signupAndOnboard(page, 'fac-empty')
+    await page.goto('/factures')
+    // Empty state avec un texte parlant
+    await expect(
+      page.getByText(/aucune facture|pas encore.*facture/i).first(),
+    ).toBeVisible({ timeout: 5_000 })
+  })
+})