51217175ad
Module banking complet en lecture seule via Powens (ex-Budget Insight)
pour détecter automatiquement les paiements clients et arrêter les
relances dès qu'une facture est payée. Réservé plans Pro / Business,
kill switch global BANKING_ENABLED désactivé en prod tant que le KYC
Powens n'est pas validé (cf. .claude/deploy-memory.md).
Backend (apps/api)
- PowensClient bas niveau : init user, code temporaire 30s, build
webview URL, list/get/delete connections, accounts, transactions,
vérif HMAC SHA-256 timing-safe pour webhook.
- BankingService : ensurePowensUser (chiffrement token via Adonis
encryption / APP_KEY), createWebviewUrl avec state HMAC anti-CSRF
(TTL 10 min), handleCallback (upsert connection + accounts +
fire-and-forget mail + sync 90j + reconcile), disconnect (DELETE
Powens + soft-revoke en DB), setReconciliationMode.
- Réconciliation : match transactions ↔ factures sur montant exact
+ label normalisé (numero ou nom client, NFD strip + alphanum).
Confiance HIGH (label matche) vs LOW (montant seul). Mode auto +
HIGH → invoice.status=paid + bonus rubis + cancel relances +
enqueuePaymentThanks (client) + sendInvoiceAutoPaidNotification
(user). Mode manual ou LOW → match_status='suggested' (UI V2).
- Webhook /webhooks/powens : vérif HMAC, lookup org par
powens_user_id, dispatch CONNECTION_SYNCED / NEW_TRANSACTIONS /
USER_SYNC_ENDED → sync incrémental 7j + reconcile, CONNECTION_ERROR
/ SCA_REQUIRED → update state + last_error. Réponse 200 immédiate
puis processing fire-and-forget pour ne pas timeout côté Powens.
- 4 migrations : bank_connections, bank_accounts, bank_transactions
+ colonnes powens_user_id (chiffré APP_KEY) et reconciliation_mode
sur organizations.
- 2 templates React Email : BankConnectedEmail (post-connection,
récap comptes + lien settings) et InvoiceAutoPaidNotificationEmail
(notif user après match auto, lien direct facture + libellé
bancaire détecté). Toujours en branding Rubis (notif Rubis → user,
jamais marque blanche).
- 2 commandes ace : banking:reconcile (rejoue le reconcile sans
reconnecter la banque) et banking:simulate-payment (injecte une
bank_transaction synthétique qui matche une facture, pour test E2E
sans devoir attendre un vrai virement sandbox).
- Kill switch isBankingEnabled() : flag BANKING_ENABLED + check des
credentials Powens. Endpoint public GET /banking/status renvoie
{ enabled }, /banking/powens/init throw 503 banking_disabled si OFF.
- Fix handler exceptions : UNIQUE violation composite (org, X)
rapporte désormais la vraie colonne en faute (numero/slug/…) avec
message lisible « Le numéro de facture "F2026-0013" existe déjà »,
au lieu d'un message ambigu sur organization_id.
Frontend (apps/web)
- /parametres : nouvelle SettingsSection "Banque" gated par kill
switch + plan Pro/Business. Si Free → upsell card avec CTA vers
/parametres/abonnement. Si Pro/Business sans banque → CTA "Connecter
une banque". Si banque connectée → carte avec accounts (IBAN
masqué FR76 **** **** **** 1234), solde, last sync, bouton
Déconnecter. Toggle Manuel/Auto pour reconciliation_mode.
- /parametres/banque/success : nouvelle route dédiée post-callback
avec badge ✓ animé + halo glow rubis, récap des comptes
synchronisés, 2 CTAs ("Voir mes paramètres" / "Retour dashboard"),
note sécurité "lecture seule, aucun déplacement de fonds".
- Hooks : useBankingStatus, useBankConnections (avec opt-out via
{ enabled }), useInitBanking, useDisconnectBank, useBankingSettings,
useUpdateBankingSettings.
Infrastructure (k3s)
- ConfigMap rubis-api-config : BANKING_ENABLED='false' par défaut,
BANKING_PROVIDER='powens', POWENS_DOMAIN='rubis',
POWENS_API_BASE_URL='https://rubis.biapi.pro/2.0/',
POWENS_REDIRECT_URI='https://app.rubis.pro/api/v1/banking/powens/callback'.
- Secret rubis-app-secrets : 3 nouvelles clés POWENS_CLIENT_ID,
POWENS_CLIENT_SECRET, POWENS_WEBHOOK_SECRET (valeurs sandbox posées
via kubectl patch, à remplacer post-KYC).
Sécurité
- Token Powens chiffré au repos via Adonis encryption (AES-256-GCM,
clé APP_KEY).
- State HMAC SHA-256 signé sur APP_KEY pour le flow webview
(anti-CSRF + porte l'org_id à travers le redirect).
- Webhook HMAC SHA-256 sur header BI-Signature avec
POWENS_WEBHOOK_SECRET, comparaison timing-safe.
- IBAN masqué côté API (transformer).
- Scope par org sur tous les endpoints (anti-IDOR).
- Rate limiting via le middleware Adonis existant.
- Idempotence DB : UNIQUE (org, powens_connection_id), (connection,
powens_account_id), (account, powens_id) → rejouer un event ou un
callback ne pose pas de problème.
Documentation
- /docs/tech/banking-setup.md : procédure complète setup dev avec
Cloudflare Quick Tunnel, compte sandbox Powens, whitelist URLs.
- /.claude/deploy-memory.md : section "Banking (Powens) — activation
prod" avec procédure en 6 étapes (KYC → secrets → ConfigMap →
flip flag → smoke test), snippet kubectl patch pour rotation
ciblée de secrets.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
162 lines
6.0 KiB
TypeScript
162 lines
6.0 KiB
TypeScript
import app from '@adonisjs/core/services/app'
|
|
import { type HttpContext, ExceptionHandler } from '@adonisjs/core/http'
|
|
import * as Sentry from '@sentry/node'
|
|
|
|
/**
|
|
* Exception handler API JSON-only. Normalise toutes les erreurs vers la
|
|
* shape `{ errors: [{ code, message, field? }] }` documentée dans
|
|
* backend.md §6.
|
|
*
|
|
* Conversions :
|
|
* - PG 23505 (unique violation) → 422 `duplicate` avec field extrait
|
|
* - E_INVALID_CREDENTIALS → 401 `invalid_credentials`
|
|
* - Vine validation errors → 422 (déjà géré par Adonis, on relaie)
|
|
* - Exception custom avec code & status → propage tel quel sous shape errors
|
|
* - Reste → fallback super.handle()
|
|
*/
|
|
export default class HttpExceptionHandler extends ExceptionHandler {
|
|
protected debug = !app.inProduction
|
|
|
|
async handle(error: unknown, ctx: HttpContext) {
|
|
if (!isObject(error)) return super.handle(error, ctx)
|
|
|
|
// Postgres unique violation → 422 propre (pas un 500 avec stack pg-protocol).
|
|
//
|
|
// Format du detail PG : `Key (col1, col2)=(val1, val2) already exists.`
|
|
//
|
|
// On veut un message lisible côté SPA. Pour les contraintes composites
|
|
// multi-tenant (qui contiennent toujours `organization_id` comme 1re
|
|
// colonne sur ce projet), `organization_id` n'est pas la colonne en
|
|
// faute — c'est l'autre colonne (numero, slug, email…). On reporte
|
|
// donc la 1re colonne NON-`organization_id` comme `field`, avec la
|
|
// valeur correspondante pour un message explicite.
|
|
if (error.code === '23505') {
|
|
const detail = typeof error.detail === 'string' ? error.detail : ''
|
|
const m = detail.match(/Key \(([^)]+)\)=\(([^)]+)\)/)
|
|
const columns = m?.[1]?.split(',').map((s) => s.trim()) ?? []
|
|
const values = m?.[2]?.split(',').map((s) => s.trim()) ?? []
|
|
// Index de la 1re colonne != organization_id, sinon fallback sur 0.
|
|
const idx = Math.max(
|
|
0,
|
|
columns.findIndex((c) => c !== 'organization_id')
|
|
)
|
|
const field = columns[idx]
|
|
const value = values[idx]
|
|
ctx.response.status(422)
|
|
return ctx.response.json({
|
|
errors: [
|
|
{
|
|
code: 'duplicate',
|
|
message:
|
|
field && value
|
|
? `${humanizeField(field)} « ${value} » existe déjà.`
|
|
: 'Cette valeur existe déjà.',
|
|
field: field ?? undefined,
|
|
},
|
|
],
|
|
})
|
|
}
|
|
|
|
// Adonis auth — mauvais credentials. Le default est 400, on veut 401.
|
|
if (error.code === 'E_INVALID_CREDENTIALS') {
|
|
ctx.response.status(401)
|
|
return ctx.response.json({
|
|
errors: [
|
|
{
|
|
code: 'invalid_credentials',
|
|
message: 'Email ou mot de passe incorrect',
|
|
},
|
|
],
|
|
})
|
|
}
|
|
|
|
// Vine — validation errors. Adonis sort déjà des messages structurés,
|
|
// on les relaie en `errors[]`.
|
|
if (error.code === 'E_VALIDATION_ERROR' && Array.isArray(error.messages)) {
|
|
ctx.response.status(422)
|
|
return ctx.response.json({
|
|
errors: error.messages.map((m) => ({
|
|
code: 'validation_failed',
|
|
message: typeof m === 'object' && m && 'message' in m ? String(m.message) : '',
|
|
field: typeof m === 'object' && m && 'field' in m ? String(m.field) : undefined,
|
|
rule: typeof m === 'object' && m && 'rule' in m ? String(m.rule) : undefined,
|
|
})),
|
|
})
|
|
}
|
|
|
|
// Custom Exception levée par les controllers : on a `status` + `code`
|
|
// + `message`. On les passe en shape `errors[]`.
|
|
if (
|
|
typeof error.status === 'number' &&
|
|
typeof error.code === 'string' &&
|
|
typeof error.message === 'string' &&
|
|
error.status >= 400 &&
|
|
error.status < 600
|
|
) {
|
|
ctx.response.status(error.status)
|
|
return ctx.response.json({
|
|
errors: [
|
|
{
|
|
code: error.code,
|
|
message: error.message,
|
|
},
|
|
],
|
|
})
|
|
}
|
|
|
|
return super.handle(error, ctx)
|
|
}
|
|
|
|
async report(error: unknown, ctx: HttpContext) {
|
|
// Capture seulement les vraies erreurs serveur (pas les 4xx attendues
|
|
// type validation, auth invalide, etc. — déjà filtrées par beforeSend
|
|
// dans start/sentry.ts mais on garde une 2ème ligne de défense ici).
|
|
if (error instanceof Error) {
|
|
const status = (error as { status?: number }).status
|
|
const isServerError = !status || status >= 500
|
|
if (isServerError) {
|
|
// SÉCURITÉ : on log le PATTERN de la route ("/api/v1/checkin/:token/paid")
|
|
// et pas l'URL réelle, sinon les codes OAuth (?code=...) et les
|
|
// tokens de check-in (dans le path) fuiteraient dans les tags
|
|
// Sentry, qui sont indexés et consultables par toute l'équipe.
|
|
// ctx.request.url(false) strip la query string en fallback.
|
|
const route = (ctx as unknown as { route?: { pattern?: string } }).route
|
|
const safeUrl = route?.pattern ?? ctx.request.url(false)
|
|
Sentry.captureException(error, {
|
|
tags: {
|
|
url: safeUrl,
|
|
method: ctx.request.method(),
|
|
status: status?.toString() ?? '500',
|
|
},
|
|
user: ctx.auth?.user
|
|
? { id: String((ctx.auth.user as { id: unknown }).id) }
|
|
: undefined,
|
|
})
|
|
}
|
|
}
|
|
return super.report(error, ctx)
|
|
}
|
|
}
|
|
|
|
function isObject(v: unknown): v is Record<string, unknown> {
|
|
return v !== null && typeof v === 'object'
|
|
}
|
|
|
|
/**
|
|
* Mappe un nom de colonne DB en libellé lisible pour les messages d'erreur
|
|
* côté SPA. Volontairement court et conservateur — on ne traduit que les
|
|
* champs qui peuvent réellement remonter sur une UNIQUE violation.
|
|
*/
|
|
function humanizeField(col: string): string {
|
|
const map: Record<string, string> = {
|
|
numero: 'Le numéro de facture',
|
|
slug: 'Le slug',
|
|
email: "L'email",
|
|
siret: 'Le SIRET',
|
|
powens_user_id: "L'identifiant utilisateur Powens",
|
|
stripe_customer_id: "L'identifiant client Stripe",
|
|
stripe_subscription_id: "L'identifiant abonnement Stripe",
|
|
}
|
|
return map[col] ?? `Le champ ${col}`
|
|
}
|