71 lines
3 KiB
Markdown
71 lines
3 KiB
Markdown
---
|
|
title: "ST-1110 — Demo gebruiker read-only"
|
|
status: active
|
|
audience: [maintainer, contributor]
|
|
language: nl
|
|
last_updated: 2026-05-03
|
|
applies_to: [ST-1110]
|
|
---
|
|
|
|
# Plan: ST-1110 — Demo gebruiker read-only
|
|
|
|
## Context
|
|
|
|
Demo-gebruikers (`is_demo=true` in DB) mogen de app niet muteren. Vóór ST-1110 was de beveiliging gemengd en inconsistent: sommige routes hadden een isDemo-check, sommige niet; UI-patronen waren inconsistent (deels verborgen, deels disabled+toast).
|
|
|
|
## Audit resultaten (ST-1110.1)
|
|
|
|
Gevonden beveiligingsgaten vóór ST-1110:
|
|
- `/api/auth/pair/start` en `/api/auth/pair/claim`: geen isDemo-check
|
|
- `/api/todos`, `/api/stories`, `/api/tasks` e.a.: hadden isDemo-check in actie, maar geen middleware-laag
|
|
- UI: 24+ locaties gemengd patroon (`!isDemo && <Button>` of `disabled+toast`)
|
|
|
|
## Gekozen aanpak (ST-1110.2)
|
|
|
|
Drie-laagse bescherming:
|
|
1. **Middleware-guard** in `proxy.ts` (defense in depth voor toekomstige routes)
|
|
2. **Per-route guards** in Server Actions en Route Handlers
|
|
3. **UI-laag**: uniform `disabled + DemoTooltip`
|
|
|
|
## M11-antwoorden
|
|
|
|
### ST-1110.4 — QR-pairing voor demo-gebruiker
|
|
**Vraag:** Mag een demo-gebruiker een QR-pairing starten en claimen?
|
|
**Opties:**
|
|
- Blokken — voeg isDemo-check toe in pair/start en pair/claim, demo krijgt 403
|
|
- Openhouden — geen wijziging; demo kan pair-flow starten maar approve faalt toch
|
|
|
|
**Antwoord (2026-04-29):** **Blokken**
|
|
|
|
**Implementatie:**
|
|
- `pair/start`: `getIronSession(await cookies(), sessionOptions)` → 403 als `session.isDemo`
|
|
- `pair/claim`: check `pairing.user?.is_demo` na DB-read → 403 + `clearPairCookie()`
|
|
- proxy.ts DEMO_WRITE_ALLOWLIST bevat pair-paden NIET
|
|
|
|
### ST-1110.5 — Write-knoppen voor demo-gebruiker
|
|
**Vraag:** Hoe write-knoppen tonen aan demo-gebruikers?
|
|
**Opties:**
|
|
- Verbergen — `{!isDemo && <Button />}`, minder visuele clutter
|
|
- Disabled + tooltip "Niet beschikbaar in demo-modus" — bezoeker ziet wat de app kan
|
|
|
|
**Antwoord (2026-04-29):** **Disabled + tooltip**
|
|
|
|
**Implementatie:** Alle `!isDemo && <Button>` patronen omgezet naar `<DemoTooltip show={isDemo}><Button disabled={isDemo}>`.
|
|
|
|
## Bestanden gewijzigd
|
|
|
|
| Task | Commits | Bestanden |
|
|
|---|---|---|
|
|
| ST-1110.3 | `feat(ST-1110.3)` | `proxy.ts` |
|
|
| ST-1110.3+4 | `feat(ST-1110.3+4)` | `proxy.ts`, `app/api/auth/pair/start/route.ts`, `app/api/auth/pair/claim/route.ts` |
|
|
| ST-1110.5 | `feat(ST-1110.5)` | 12 component/pagina-bestanden |
|
|
| ST-1110.5 tests | `test(ST-1110.5)` | `__tests__/api/pair-claim.test.ts`, `__tests__/api/pair-start.test.ts` |
|
|
| ST-1110.6 | `test(ST-1110.6)` | `__tests__/proxy/demo-guard.test.ts` |
|
|
| ST-1110.7 | `docs(ST-1110.7)` | `docs/architecture.md`, dit bestand |
|
|
|
|
## Aandachtspunten toekomstige stories
|
|
|
|
- Elke nieuwe write-route (Server Action of Route Handler) moet `session.isDemo` checken
|
|
- De middleware-guard valt terug als defense in depth — niet als enige bescherming
|
|
- Drag-and-drop handles blijven verborgen voor demo (`{!isDemo && <span {...listeners} />}`)
|
|
- Nieuwe write-knoppen in UI: `<DemoTooltip show={isDemo}><Button disabled={isDemo}>`
|