ordinarthur/rubis
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
rubis/k3s/app/api.yml
ordinarthur 51217175ad
All checks were successful
Build & Deploy Web / build-and-deploy (push) Successful in 38s
Details
Build & Deploy API / build-and-deploy (push) Successful in 1m36s
Details
feat(banking): intégration Powens AISP + auto-réconciliation factures 
Module banking complet en lecture seule via Powens (ex-Budget Insight)
pour détecter automatiquement les paiements clients et arrêter les
relances dès qu'une facture est payée. Réservé plans Pro / Business,
kill switch global BANKING_ENABLED désactivé en prod tant que le KYC
Powens n'est pas validé (cf. .claude/deploy-memory.md).

Backend (apps/api)
- PowensClient bas niveau : init user, code temporaire 30s, build
  webview URL, list/get/delete connections, accounts, transactions,
  vérif HMAC SHA-256 timing-safe pour webhook.
- BankingService : ensurePowensUser (chiffrement token via Adonis
  encryption / APP_KEY), createWebviewUrl avec state HMAC anti-CSRF
  (TTL 10 min), handleCallback (upsert connection + accounts +
  fire-and-forget mail + sync 90j + reconcile), disconnect (DELETE
  Powens + soft-revoke en DB), setReconciliationMode.
- Réconciliation : match transactions ↔ factures sur montant exact
  + label normalisé (numero ou nom client, NFD strip + alphanum).
  Confiance HIGH (label matche) vs LOW (montant seul). Mode auto +
  HIGH → invoice.status=paid + bonus rubis + cancel relances +
  enqueuePaymentThanks (client) + sendInvoiceAutoPaidNotification
  (user). Mode manual ou LOW → match_status='suggested' (UI V2).
- Webhook /webhooks/powens : vérif HMAC, lookup org par
  powens_user_id, dispatch CONNECTION_SYNCED / NEW_TRANSACTIONS /
  USER_SYNC_ENDED → sync incrémental 7j + reconcile, CONNECTION_ERROR
  / SCA_REQUIRED → update state + last_error. Réponse 200 immédiate
  puis processing fire-and-forget pour ne pas timeout côté Powens.
- 4 migrations : bank_connections, bank_accounts, bank_transactions
  + colonnes powens_user_id (chiffré APP_KEY) et reconciliation_mode
  sur organizations.
- 2 templates React Email : BankConnectedEmail (post-connection,
  récap comptes + lien settings) et InvoiceAutoPaidNotificationEmail
  (notif user après match auto, lien direct facture + libellé
  bancaire détecté). Toujours en branding Rubis (notif Rubis → user,
  jamais marque blanche).
- 2 commandes ace : banking:reconcile (rejoue le reconcile sans
  reconnecter la banque) et banking:simulate-payment (injecte une
  bank_transaction synthétique qui matche une facture, pour test E2E
  sans devoir attendre un vrai virement sandbox).
- Kill switch isBankingEnabled() : flag BANKING_ENABLED + check des
  credentials Powens. Endpoint public GET /banking/status renvoie
  { enabled }, /banking/powens/init throw 503 banking_disabled si OFF.
- Fix handler exceptions : UNIQUE violation composite (org, X)
  rapporte désormais la vraie colonne en faute (numero/slug/…) avec
  message lisible « Le numéro de facture "F2026-0013" existe déjà »,
  au lieu d'un message ambigu sur organization_id.

Frontend (apps/web)
- /parametres : nouvelle SettingsSection "Banque" gated par kill
  switch + plan Pro/Business. Si Free → upsell card avec CTA vers
  /parametres/abonnement. Si Pro/Business sans banque → CTA "Connecter
  une banque". Si banque connectée → carte avec accounts (IBAN
  masqué FR76 **** **** **** 1234), solde, last sync, bouton
  Déconnecter. Toggle Manuel/Auto pour reconciliation_mode.
- /parametres/banque/success : nouvelle route dédiée post-callback
  avec badge ✓ animé + halo glow rubis, récap des comptes
  synchronisés, 2 CTAs ("Voir mes paramètres" / "Retour dashboard"),
  note sécurité "lecture seule, aucun déplacement de fonds".
- Hooks : useBankingStatus, useBankConnections (avec opt-out via
  { enabled }), useInitBanking, useDisconnectBank, useBankingSettings,
  useUpdateBankingSettings.

Infrastructure (k3s)
- ConfigMap rubis-api-config : BANKING_ENABLED='false' par défaut,
  BANKING_PROVIDER='powens', POWENS_DOMAIN='rubis',
  POWENS_API_BASE_URL='https://rubis.biapi.pro/2.0/',
  POWENS_REDIRECT_URI='https://app.rubis.pro/api/v1/banking/powens/callback'.
- Secret rubis-app-secrets : 3 nouvelles clés POWENS_CLIENT_ID,
  POWENS_CLIENT_SECRET, POWENS_WEBHOOK_SECRET (valeurs sandbox posées
  via kubectl patch, à remplacer post-KYC).

Sécurité
- Token Powens chiffré au repos via Adonis encryption (AES-256-GCM,
  clé APP_KEY).
- State HMAC SHA-256 signé sur APP_KEY pour le flow webview
  (anti-CSRF + porte l'org_id à travers le redirect).
- Webhook HMAC SHA-256 sur header BI-Signature avec
  POWENS_WEBHOOK_SECRET, comparaison timing-safe.
- IBAN masqué côté API (transformer).
- Scope par org sur tous les endpoints (anti-IDOR).
- Rate limiting via le middleware Adonis existant.
- Idempotence DB : UNIQUE (org, powens_connection_id), (connection,
  powens_account_id), (account, powens_id) → rejouer un event ou un
  callback ne pose pas de problème.

Documentation
- /docs/tech/banking-setup.md : procédure complète setup dev avec
  Cloudflare Quick Tunnel, compte sandbox Powens, whitelist URLs.
- /.claude/deploy-memory.md : section "Banking (Powens) — activation
  prod" avec procédure en 6 étapes (KYC → secrets → ConfigMap →
  flip flag → smoke test), snippet kubectl patch pour rotation
  ciblée de secrets.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-12 14:03:32 +02:00

163 lines
5.2 KiB
YAML
Raw Blame History

# Rubis API — AdonisJS V7 (Node 22). ClusterIP uniquement, accessible
# depuis nginx (rubis-web) via DNS K3s : rubis-api.rubis.svc.cluster.local
# Workers BullMQ tournent dans le même process (cf. start/queue.ts).
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: rubis-api
namespace: rubis
spec:
replicas: 1
strategy:
type: RollingUpdate
rollingUpdate:
maxSurge: 1
maxUnavailable: 0
selector:
matchLabels:
app: rubis-api
template:
metadata:
labels:
app: rubis-api
spec:
imagePullSecrets:
- name: gitea-registry
# Migrations : exécutées en init-container avant que le serveur démarre.
# Idempotent (ace migration:run skip ce qui est déjà appliqué).
# workingDir = build/ pour utiliser ace.js compilé (les .ts ne se chargent
# pas en runtime, devDeps absentes).
initContainers:
- name: migrate
image: git.arthurbarre.fr/ordinarthur/rubis-api:latest
imagePullPolicy: Always
workingDir: /app/apps/api/build
command: ['node', 'ace.js', 'migration:run', '--force']
envFrom:
- secretRef: { name: rubis-app-secrets }
- configMapRef: { name: rubis-api-config }
resources:
requests: { cpu: 50m, memory: 128Mi }
limits: { cpu: 500m, memory: 512Mi }
containers:
- name: api
image: git.arthurbarre.fr/ordinarthur/rubis-api:latest
imagePullPolicy: Always
ports:
- containerPort: 3333
name: http
envFrom:
- secretRef: { name: rubis-app-secrets }
- configMapRef: { name: rubis-api-config }
resources:
requests:
cpu: 100m
memory: 256Mi
limits:
cpu: 1000m
memory: 768Mi
startupProbe:
httpGet: { path: /api/v1/health, port: http }
initialDelaySeconds: 5
periodSeconds: 5
failureThreshold: 30
livenessProbe:
httpGet: { path: /api/v1/health, port: http }
periodSeconds: 30
timeoutSeconds: 5
failureThreshold: 3
readinessProbe:
httpGet: { path: /api/v1/health, port: http }
periodSeconds: 10
timeoutSeconds: 3
failureThreshold: 3
---
# ClusterIP — accessible uniquement depuis le cluster (par nginx rubis-web).
apiVersion: v1
kind: Service
metadata:
name: rubis-api
namespace: rubis
spec:
type: ClusterIP
selector:
app: rubis-api
ports:
- port: 3333
targetPort: http
name: http
---
apiVersion: v1
kind: ConfigMap
metadata:
name: rubis-api-config
namespace: rubis
data:
# Variables non-sensibles. Les secrets sont dans rubis-app-secrets.
TZ: 'Europe/Paris'
PORT: '3333'
HOST: '0.0.0.0'
NODE_ENV: 'production'
LOG_LEVEL: 'info'
APP_URL: 'https://app.rubis.pro'
WEB_URL: 'https://app.rubis.pro'
LANDING_URL: 'https://rubis.pro'
SESSION_DRIVER: 'cookie'
COOKIE_SECURE: 'true'
COOKIE_DOMAIN: 'app.rubis.pro'
DB_CONNECTION: 'postgres'
PG_HOST: '10.10.10.3'
PG_PORT: '5432'
PG_USER: 'rubis'
PG_DB_NAME: 'rubis_prod'
REDIS_HOST: 'rubis-redis.rubis.svc.cluster.local'
REDIS_PORT: '6379'
LIMITER_STORE: 'redis'
DRIVE_DISK: 's3'
S3_ENDPOINT: 'http://minio.minio.svc.cluster.local:9000'
S3_REGION: 'fr-par'
S3_BUCKET: 'rubis-prod-invoices'
S3_FORCE_PATH_STYLE: 'true'
MAIL_DRIVER: 'resend'
MAIL_FROM_ADDRESS: 'contact@rubis.pro'
MAIL_FROM_NAME: "Rubis sur l'ongle"
OCR_PROVIDER: 'mistral'
ACCESS_TOKEN_TTL_MINUTES: '30'
REFRESH_TOKEN_TTL_DAYS: '30'
# Google SSO — GOOGLE_CLIENT_ID/SECRET sont dans rubis-app-secrets.
# Le callback URL doit matcher EXACTEMENT ce qui est configuré dans
# Google Cloud Console (OAuth Client → Authorized redirect URIs).
GOOGLE_CALLBACK_URL: 'https://app.rubis.pro/api/v1/auth/google/callback'
# Microsoft SSO — MICROSOFT_CLIENT_ID/SECRET sont dans rubis-app-secrets.
# MICROSOFT_TENANT : 'common' (work + perso), 'organizations' (M365 only),
# ou un tenant ID Azure AD spécifique. Le callback URL doit matcher
# EXACTEMENT le redirect URI configuré côté Azure App registration.
MICROSOFT_TENANT: 'common'
MICROSOFT_CALLBACK_URL: 'https://app.rubis.pro/api/v1/auth/microsoft/callback'
# Banking / Powens (AISP, lecture seule).
# - BANKING_ENABLED=false par défaut : la section banque dans /parametres
# reste invisible et /api/v1/banking/* renvoie 503 tant qu'on n'a pas
# bouclé le KYC Powens prod. Flip à 'true' une fois les creds en
# place et testés.
# - POWENS_DOMAIN : slug du domaine Powens prod (ex 'rubis' →
# 'rubis.biapi.pro'). À remplacer par le vrai slug après KYC.
# - POWENS_CLIENT_ID / POWENS_CLIENT_SECRET / POWENS_WEBHOOK_SECRET
# sont dans rubis-app-secrets (cf. deploy-memory.md).
# - POWENS_REDIRECT_URI doit matcher EXACTEMENT ce qui est whitelisté
# côté console Powens prod.
BANKING_ENABLED: 'false'
BANKING_PROVIDER: 'powens'
POWENS_DOMAIN: 'rubis'
POWENS_API_BASE_URL: 'https://rubis.biapi.pro/2.0/'
POWENS_REDIRECT_URI: 'https://app.rubis.pro/api/v1/banking/powens/callback'
Reference in New Issue View Git Blame Copy Permalink