'use server' // ST-1103: Server Action voor het beantwoorden van een Claude-vraag (M11). // // Volgt docs/patterns/server-action.md: getSession + Zod + demo-blok + // productAccessFilter. Atomic updateMany sluit double-submit uit; bij race // (count=0) doet een tweede findFirst de disambiguatie tussen 'al beantwoord', // 'verlopen', en 'niet gevonden of geen toegang'. // // revalidatePath('/', 'layout') refresh't de NavBar-bell badge-count voor // SSR-rendered pages — de Zustand store + SSE in ST-1104/1105 dekken de // realtime updates voor andere clients. import { revalidatePath } from 'next/cache' import { prisma } from '@/lib/prisma' import { getSession } from '@/lib/auth' import { productAccessFilter } from '@/lib/product-access' import { answerQuestionSchema } from '@/lib/schemas/question-answer' import { enforceUserRateLimit } from '@/lib/rate-limit' type ActionResult = { ok: true } | { ok: false; error: string } export async function answerQuestion( questionId: string, answer: string, ): Promise { const session = await getSession() if (!session.userId) return { ok: false, error: 'Niet ingelogd' } if (session.isDemo) return { ok: false, error: 'Niet beschikbaar in demo-modus' } const limited = enforceUserRateLimit('answer-question', session.userId) if (limited) return { ok: false, error: limited.error } const parsed = answerQuestionSchema.safeParse({ questionId, answer }) if (!parsed.success) { const first = parsed.error.issues[0]?.message ?? 'Ongeldige invoer' return { ok: false, error: first } } // Access-check (M12-aware): // - Story-questions: iedereen met product-membership mag antwoorden // (consistent met Scrum self-organizing). // - Idea-questions: strikt user_id-only — alleen de eigenaar van het // gekoppelde idee mag antwoorden (M12 grill-keuze 8). // App-level routing omdat Prisma 7 `{ not: null }` filters in WHERE niet // accepteert; we fetchen de relevante FK-keys en checken in TS. const question = await prisma.claudeQuestion.findFirst({ where: { id: parsed.data.questionId }, select: { id: true, story_id: true, idea_id: true, product_id: true, idea: { select: { user_id: true } }, }, }) if (!question) return { ok: false, error: 'Vraag niet gevonden of geen toegang' } if (question.idea_id) { // Idea-question: alleen idea-eigenaar. if (question.idea?.user_id !== session.userId) { return { ok: false, error: 'Vraag niet gevonden of geen toegang' } } } else if (question.story_id) { // Story-question: bestaand product-access-pad. const productAccess = await prisma.product.findFirst({ where: { id: question.product_id, ...productAccessFilter(session.userId) }, select: { id: true }, }) if (!productAccess) { return { ok: false, error: 'Vraag niet gevonden of geen toegang' } } } else { return { ok: false, error: 'Vraag heeft geen story of idea' } } // Atomic state-transitie: alleen open + niet-verlopen vragen worden beantwoord. // Concurrent dubbele submit: PostgreSQL row-locking laat één caller count=1 // zien, de rest count=0 → disambiguatie hieronder. const updated = await prisma.claudeQuestion.updateMany({ where: { id: parsed.data.questionId, status: 'open', expires_at: { gt: new Date() }, }, data: { status: 'answered', answer: parsed.data.answer, answered_by: session.userId, answered_at: new Date(), }, }) if (updated.count !== 1) { const exists = await prisma.claudeQuestion.findFirst({ where: { id: parsed.data.questionId }, select: { status: true, expires_at: true }, }) if (!exists) return { ok: false, error: 'Vraag niet gevonden' } if (exists.status !== 'open') { return { ok: false, error: `Vraag is al ${exists.status}` } } return { ok: false, error: 'Vraag is verlopen' } } revalidatePath('/', 'layout') return { ok: true } }