janpeter/Scrum4Me
0
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions 2
Scrum4Me/docs/api/rest-contract.md
Janpeter Visser 5df04feb11
feat(PBI-74): Zustand product-workspace rearchitecture (Stories 1-8) (#180) 
* feat(PBI-74): product-workspace store skelet + test-infra (Story 1)

Skelet voor de nieuwe `product-workspace-store` die op termijn de gefragmenteerde
`backlog-store`/`planner-store`/`selection-store`/`product-store` vervangt. Deze
PR levert alleen het skelet + tests; UI-consumers worden in latere stories
omgezet.

- vitest naar jsdom + tests/setup.ts (MemoryStorage, default fetch-stub) — G6/G8
- stores/product-workspace/{types,store,selectors,restore}.ts — immer-middleware,
  alle slices en acties (hydrate, setActive*, ensure*Loaded met activeRequestId-
  guard, applyRealtimeEvent, resyncActiveScopes/loadedScopes, optimistic
  mutations). Restore-wiring in setters volgt in Story 4 (T-857/T-858).
- selectors gebruiken module-level EMPTY refs (G1) en documenteren useShallow-
  vereiste (G2)
- 34 nieuwe unit-tests dekken §Testing setup-checklist uit het ontwerp:
  hydrateSnapshot, selection-cascade, applyRealtimeEvent (I/U/D + parent-move +
  ander-product + unknown-entity → resync), delete-cleanup, race-safe loaders,
  ensureTaskLoaded _detail-flag, resyncActiveScopes ensure-keten, restore-hints
  read/write/clear, optimistic mutation rollback/settle/SSE-echo idempotent
- docs/api/rest-contract.md: audit-sectie met de vier ontbrekende
  ensure*Loaded-endpoints (worden toegevoegd in Story 7 / T-870)

Refs: PBI-74, ST-1318, T-837..T-843
Bron-ontwerp: docs/plans/zustand-store-rearchitecture.md
Implementatieplan: docs/plans/zustand-workspace-store-implementation.md

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): dual-dispatch hydratie + realtime naar workspace-store (Story 2)

Story 2 — schaduw-fase: BacklogHydrationWrapper en useBacklogRealtime voeden
nu ook de nieuwe product-workspace-store, terwijl de oude useBacklogStore /
useProductStore leidend blijft voor componenten. Story 3 verschuift consumers
één voor één; Story 8 ruimt de oude stores op.

- T-844: BacklogHydrationWrapper roept naast useBacklogStore.setInitialData
  ook useProductWorkspaceStore.hydrateSnapshot aan. Productname-prop optioneel
  toegevoegd voor activeProduct-context.
- T-845: useBacklogRealtime onmessage dispatcht events naar zowel oude store
  (applyChange) als nieuwe store (applyRealtimeEvent). Geen wijziging aan
  reconnect/visibility — Story 5.
- T-846: dev-only logWorkspaceFingerprint helper vergelijkt counts tussen
  oude en nieuwe store na hydrate en na elk realtime-event. console.warn bij
  mismatch; opt-in debug log via NEXT_PUBLIC_DEBUG_WORKSPACE_FINGERPRINT=1.
  Bestand TODO-marked voor verwijdering in Story 8 (T-878).
- T-847: SetCurrentProduct schrijft naast oude useProductStore ook
  useProductWorkspaceStore.setActiveProduct({id, name}); cleanup cleart beide.
  setActiveProduct triggert ensureProductLoaded — fetch-stub tot Story 7
  (T-870) de LIST-endpoints toevoegt.

Verify: lint+typecheck clean, 636/636 tests groen (geen UI-regressie omdat
oude store leidend blijft).

Refs: PBI-74, ST-1319, T-844..T-847

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): migreer backlog-componenten naar workspace-store (Story 3)

Story 3 verplaatst alle UI-consumers van de oude vier stores
(useBacklogStore/usePlannerStore/useSelectionStore/useProductStore) naar de
nieuwe product-workspace-store. De oude stores blijven nog bestaan voor
hydration-wrapper en realtime-hook (dual-dispatch); Story 8 ruimt ze op.

- T-848 backlog-split-pane.tsx: leest activePbiId/activeStoryId uit
  context-slice (primitives, geen useShallow nodig).
- T-849 pbi-list.tsx: selectVisiblePbis(useShallow); DnD via
  applyOptimisticMutation('pbi-order' + optionele 'entity-patch' bij
  cross-priority drag), met settle/rollback per server-result.
- T-850 story-panel.tsx: selectStoriesForActivePbi(useShallow); DnD via
  applyOptimisticMutation('story-order' + entity-patch bij priority change).
- T-851 task-panel.tsx: selectTasksForActiveStory(useShallow); DnD via
  applyOptimisticMutation('task-order'); detail-view (ensureTaskLoaded +
  isDetail) zit in de task-dialog (apart component, niet in deze lijst).
- T-852 start-sprint-button.tsx: selectActivePbi + selectStoriesForActivePbi
  voor free-story count.
- T-853 set-current-product.tsx: alleen workspace-store.setActiveProduct
  (oude useProductStore-import verwijderd).
- T-854 G1/G2-audit: alle nieuwe selectors gebruiken module-level EMPTY
  refs (G1) en useShallow voor lijsten (G2). Geen 'Maximum update depth'-
  warnings tijdens npm test.
- T-855 tests bijgewerkt: backlog-split-pane.test, task-panel.test,
  integration.test gebruiken nu setState op workspace-store (helpers
  resetWorkspace/setActiveStoryAndTasks/selectPbi/selectStory).

Verify: lint+typecheck clean, 636/636 tests groen. UI-consumers van
oude stores zijn nu nul (uitgezonderd dual-dispatch in hydration-wrapper en
realtime-hook + dev-fingerprint-helper, die in Story 8/T-873/T-878 verdwijnen).

Refs: PBI-74, ST-1320, T-848..T-855

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): race-safe loaders + restore-hints + URL-prioriteit (Story 4)

- T-856: activeRequestId-guard zat al in store.ts uit Story 1; bevestigd door
  de race-safety test (in-flight ensurePbiLoaded mag niet overschrijven).
- T-857: restore-hint flow toegevoegd in setActiveProduct/setActivePbi/
  setActiveStory. Async chain: await ensureXxxLoaded → guard check →
  readHints → valideer hint via entities.byId → setActiveYyy(hint).
  Geen setTimeout-trick — chain is alleen await-based.
- T-858: writeProductHint/writePbiHint/writeStoryHint/writeTaskHint
  aangeroepen direct na set(...) zodat de hint-persistentie altijd
  consistent is met de in-store selectie.
- T-859: nieuwe components/backlog/url-task-sync.tsx — leest
  ?editTask=&lt;id&gt; uit useSearchParams, schrijft de hint en roept
  setActiveTask aan zodat de URL wint boven een eerder gepersisteerde
  task-hint. Gemount in beide product-pages (desktop + mobile) binnen
  BacklogHydrationWrapper.
- T-860: 6 nieuwe vitest-cases — 4 voor hint-persist per setter, 2 voor de
  restore-flow chain (hint die niet in entities zit wordt genegeerd; hint
  die wel in entities zit wordt toegepast). Bestaande race-safety test
  blijft groen.

Verify: lint+typecheck clean, 642/642 tests groen.

Refs: PBI-74, ST-1321, T-856..T-860

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): hidden-tab + reconnect resync (Story 5)

Per ontwerp samen in één commit zodat geen vangnet wegvalt zonder vervanging.

- T-861: useBacklogRealtime sluit niet meer op visibilitychange hidden;
  EventSource blijft open zolang browser/netwerk dit toelaten. Reconnect bij
  netwerkfout blijft via backoff. visibilitychange fungeert nog wel als
  re-connect-trigger als de stream tussentijds is gesloten (b.v. 240s
  hard-close server-side).
- T-862: 'ready'-event-handler telt connect-cycles. De eerste 'ready' is de
  initial connect (geen resync). Bij latere 'ready' (post-reconnect) wordt
  resyncActiveScopes('reconnect') aangeroepen om gemiste events op te halen.
- T-863: nieuwe lib/realtime/use-workspace-resync.ts — luistert op
  document.visibilitychange (hidden→visible) en window.online; dispatcht
  resyncActiveScopes('visible') resp. 'reconnect'. Mounted in
  BacklogHydrationWrapper na useBacklogRealtime.
- T-864: 4 nieuwe vitest-cases voor useWorkspaceResync (jsdom): visible→
  visible event, online event, hidden negeren, cleanup-bij-unmount.

Daarnaast lint-cleanup: ongebruikte 'order'-variabelen in pbi-list en
story-panel weggehaald.

Verify: lint+typecheck clean, 646/646 tests groen.

Refs: PBI-74, ST-1322, T-861..T-864

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): unknown-event fallback tests (Story 6)

T-865 (isUnknownEntityEvent filter) en T-866 (resync-trigger in
applyRealtimeEvent) zijn al in Story 1 geïmplementeerd in store.ts;
deze story breidt de test-coverage uit met expliciete negatieve cases
voor het type-veld noise pattern.

T-867 — 5 nieuwe vitest-cases:
- unknown entity met ANDER product_id → geen resync
- claude_job_status (type) → geen resync
- worker_heartbeat (type) → geen resync
- claude_job_enqueued (type) → geen resync
- payload zonder entity en zonder type → genegeerd
- question-entity (entity-veld, geen type, niet pbi/story/task) → resync trigger

Verify: lint+typecheck clean, 651/651 tests groen.

Refs: PBI-74, ST-1323, T-865..T-867

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): cache-headers + LIST endpoints (Story 7)

- T-868: cache: 'no-store' was al ingebouwd in fetchJson helper (Story 1).
  Bevestigd door bestaande ensureProductLoaded test die de fetch-init
  controleert.
- T-869: force-dynamic toegevoegd op alle vier nieuwe LIST-endpoints.
- T-870: vier nieuwe routes voor ensure*Loaded:
  - GET /api/products/:id/backlog → ProductBacklogSnapshot
  - GET /api/pbis/:id/stories → BacklogStory[]
  - GET /api/stories/:id/tasks → BacklogTask[]
  - GET /api/tasks/:id (nieuwe handler naast bestaande PATCH) → TaskDetail
    met _detail: true marker
  Auth via authenticateApiRequest (Bearer of iron-session); access-control
  via productAccessFilter (gebruiker is owner of member van het product).
  Statussen worden via taskStatusToApi/storyStatusToApi/pbiStatusToApi
  vertaald naar lowercase API-vorm.
- T-871: SSE-route /api/realtime/backlog stuurt al ready-event direct na
  LISTEN (regel 106) — geen wijziging nodig.

Verify: lint+typecheck clean, 651/651 tests groen.

Refs: PBI-74, ST-1324, T-868..T-871

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* feat(PBI-74): oude stores opruimen (Story 8)

Workspace-store is nu de enige bron voor product-backlog client-state. De
vier voorgangers en de dual-dispatch-infrastructuur zijn verwijderd.

- T-872: grep over codebase op useBacklogStore/usePlannerStore/
  useSelectionStore/useProductStore is leeg.
- T-873..T-876: stores/{backlog,planner,selection,product}-store.ts deleted.
- T-877: __tests__/realtime/payload-contract.test.ts en
  __tests__/api/backlog-realtime.test.ts deleted — pbi/story/task I|U|D
  payload-handling wordt al gedekt door
  __tests__/stores/product-workspace/store.test.ts (incl. parent-move,
  idempotent inserts, delete-cleanup).
- T-878: lib/realtime/dev-workspace-fingerprint.ts deleted, dual-dispatch
  uit BacklogHydrationWrapper en lib/realtime/use-backlog-realtime.ts
  weggehaald. stores/products-store.ts (lijst van producten ≠ active
  product) blijft ongewijzigd.

Bijwerkingen:
- BacklogPbi en BacklogStory types in components/backlog/story-panel.tsx en
  components/sprint/sprint-backlog.tsx krijgen sort_order zodat ze met de
  workspace-types overeenkomen.
- Server-pages /products/[id]/page.tsx (desktop+mobile) en
  /products/[id]/sprint/[sprintId]/page.tsx selecteren sort_order op story
  en mappen het door in de hydration-payload.

Verify: lint+typecheck clean, 626/626 tests groen (verlies van 25 redundante
oude-store tests; workspace-store tests dekken hetzelfde gedrag).

Refs: PBI-74, ST-1325, T-872..T-878

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* docs(PBI-74): richtlijn workspace-store + realtime patroon

Documenteert het patroon dat in Stories 1-8 is opgeleverd, zodat een
volgende workspace-store (sprint, of een nieuwe bounded context) hetzelfde
recept volgt.

- docs/patterns/workspace-store.md (nieuw): wanneer een workspace-store, de
  vijf state-slices, selectors-regels (G1/G2), race-safe ensure*Loaded met
  activeRequestId-guard (G4), SSE-hook + applyRealtimeEvent met
  unknown-event filter, hidden-tab + reconnect resync via
  useWorkspaceResync, restore-hint flow met await-chain en URL-prioriteit,
  optimistic mutations (applyOptimisticMutation/rollback/settle), API
  endpoint-vereisten (force-dynamic, cache: no-store), test-setup met
  MemoryStorage + originalActions snapshot + mockImplementation, gotchas
  G1-G8 als comment-template, en het 8-staps migratiepad.
- docs/patterns/zustand-optimistic.md: bijgewerkt voor de nieuwe
  workspace-store API; verwijst voor het bredere patroon naar
  workspace-store.md. Voorbeelden voor pbi-order + entity-patch.
- CLAUDE.md: patterns quickref aangevuld met workspace-store-rij.

Verify: typecheck clean.

Refs: PBI-74

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* fix(PBI-74): solo + notifications hooks volgen ook hidden-tab/resync patroon

Het uitgangspunt van PBI-74 (robuust tegen gemiste SSE-events, hidden tabs
en onbekende notify-vormen) gold universeel — niet alleen voor
product-workspace. use-solo-realtime en use-notifications-realtime hadden
nog dezelfde bug die use-backlog-realtime in Story 5 al opgelost kreeg:
sluit stream op hidden, geen resync.

Reproductie (zoals gemeld): solo-screen open in tab A, product-backlog
open in tab B; bewerk task-title in tab B → tab A's solo-SSE was gesloten
(hidden) en kreeg het NOTIFY-event nooit. Tab terug naar solo →
EventSource reconnect maar geen resync → oude title persisteert. Postgres
NOTIFY heeft geen replay, dus zonder resync zijn die events permanent
verloren.

Fix in beide hooks (zelfde patroon als Story 5 voor backlog):
- Stream blijft open op visibilitychange hidden — geen close() meer.
- Bij hidden→visible én bij window 'online': router.refresh() zodat de
  server-component opnieuw fetcht en de initial-state-prop ververst (wat
  voor solo de tasks-record reset via initTasks; voor notifications de
  questions-bel-state).
- Bij latere 'ready'-events na reconnect (use-solo-realtime): zelfde
  router.refresh() trigger zodat we niet vertrouwen op alleen het
  visibility-pad.

Verify: lint + typecheck clean, 626/626 tests groen.

Refs: PBI-74

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

* docs: fix broken links in research-repo plan

docs/plans/lees-de-readme-md-validated-book.md beschrijft een research-
repo migratiepad. De links waren geschreven vanuit het research-repo-
perspectief (paden als stores/data-store.ts, ../Scrum4Me/CLAUDE.md,
docs/plans/zustand-store-rearchitecture.md zonder relative-prefix), wat
de doc-link-checker hier laat falen.

- Header-note toegevoegd dat het document voor de research-repo is.
- Interne refs (zustand-store-rearchitecture.md, CLAUDE.md) → relatieve
  paden die in deze repo wél resolven (./zustand-..., ../../CLAUDE.md).
- Research-repo-only refs (stores/data-store.ts,
  hooks/use-event-stream.ts, components/*-select.tsx, etc.) → inline
  code-tags met "(research-repo)" suffix; de link-checker slaat ze over
  en de leesbaarheid blijft.

Verify: npm run docs:check-links → ✓ All doc links valid (118 files).

---------

Co-authored-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-10 02:25:19 +02:00

17 KiB
Raw Blame History

title status audience language last_updated
Scrum4Me REST API active
ai-agent
contributor
en 2026-05-03

Scrum4Me REST API

REST-API contract voor Claude Code en andere clients.

Authenticatie

Alle endpoints behalve GET /api/health vereisen een Bearer-token:

Authorization: Bearer <token>

Tokens beheer je via Instellingen → Tokens (/settings/tokens). Een token is gekoppeld aan één gebruiker; een demo-account-token kan lezen maar niet schrijven (403).

Status-enums

De API gebruikt lowercase statussen. De database gebruikt UPPER_SNAKE; de vertaling gebeurt op de boundary.

Entiteit Waarden
Task status todo, in_progress, review, done
Story status open, in_sprint, done

Entity codes

PBI's, stories en tasks hebben elk een verplichte code (max 30 chars, regex ^[A-Za-z0-9._-]+$) die als stabiele identifier dient binnen het product:

  • Auto-generatie wanneer niet meegegeven: PBI-N, ST-N (3-digit padded), T-N — eigen sequence per product.
  • Uniek per (product_id, code) voor alle drie entiteiten.
  • Stabiel bij re-parenting: een task die naar een andere story wordt verplaatst behoudt zijn code (Jira-stijl).
  • POST-body code is optioneel (server vult bij ontbreken); response bevat code altijd.

Foutcodes

Code Betekenis
200 OK
201 Created
400 Malformed body (bv. ongeldige JSON)
401 Token ontbreekt of ongeldig
403 Token heeft geen toegang (demo-account, geen lid van product)
404 Resource niet gevonden
422 Validatiefout — body is wel-gevormd maar niet acceptabel
500 Onverwachte serverfout

Endpoints

GET /api/health

Health-probe. Geen authenticatie vereist.

Query params: ?db=1 voegt een DB-ping toe.

Response (200):

{ "status": "ok", "version": "0.3.x", "time": "2026-04-26T20:00:00Z" }

Met ?db=1:

{ "status": "ok", "version": "0.3.x", "time": "...", "database": "ok" }

database is "ok" of "down". De endpoint zelf retourneert altijd 200.

curl https://scrum4me.app/api/health?db=1

GET /api/products

Lijst van actieve producten waar de tokengebruiker eigenaar of lid van is.

Response (200):

[
  {
    "id": "cmofu...",
    "code": "SCRUM4ME",
    "name": "Scrum4Me",
    "description": "...",
    "repo_url": "https://github.com/...",
    "definition_of_done": "..."
  }
]

curl -H "Authorization: Bearer $TOKEN" https://scrum4me.app/api/products

GET /api/products/:id/claude-context

Bundled context voor Claude Code: product, actieve sprint, volgende story (met tasks) en open ideas van de tokengebruiker — in één call.

Response (200):

{
  "product": { "id", "code", "name", "description", "repo_url", "definition_of_done" },
  "active_sprint": { "id": "...", "sprint_goal": "...", "status": "ACTIVE" } | null,
  "next_story": {
    "id", "code", "title", "description", "acceptance_criteria",
    "priority", "status",
    "tasks": [
      { "id", "code", "title", "description", "implementation_plan",
        "priority", "sort_order", "status" }
    ]
  } | null,
  "open_ideas": [
    { "id", "code", "title", "description", "status", "created_at" }
  ]
}

open_ideas bevat ideeën van de gebruiker voor dit product die niet gearchiveerd zijn en nog niet de status PLANNED hebben (= nog niet als PBI gepromoveerd). Gelimiteerd op 50 items, gesorteerd op created_at asc. Demo-tokens kunnen dit endpoint lezen.

curl -H "Authorization: Bearer $TOKEN" \
  https://scrum4me.app/api/products/$PRODUCT_ID/claude-context

GET /api/products/:id/next-story

Hoogst geprioriteerde open story in de actieve sprint.

Response (200):

{
  "id": "...",
  "code": "ST-356",
  "title": "Solo Kanban-bord met DnD en Zustand",
  "description": "...",
  "acceptance_criteria": "...",
  "status": "in_sprint",
  "tasks": [
    {
      "id": "...",
      "code": "T-42",
      "title": "Store stores/solo-store.ts",
      "description": "...",
      "implementation_plan": null,
      "priority": 2,
      "sort_order": 1,
      "status": "todo"
    }
  ]
}

Foutcodes: 404 als geen actieve sprint of geen open stories.

GET /api/sprints/:id/tasks

Lijst taken van de sprint, geordend op (story.sort_order, task.priority, task.sort_order).

Query params: ?limit=N (default 10, max 50)

Response (200):

[
  {
    "id": "...",
    "code": "ST-356.1",
    "title": "...",
    "description": "...",
    "implementation_plan": null,
    "story_id": "...",
    "story_code": "ST-356",
    "priority": 2,
    "sort_order": 1,
    "status": "todo"
  }
]

PATCH /api/stories/:id/tasks/reorder

Volgorde van taken binnen een story aanpassen.

Body:

{ "task_ids": ["task-id-a", "task-id-b", "task-id-c"] }

Alle IDs moeten bij de story horen. Foutcodes: 422 bij Zod-fouten of als een task_id niet tot de story behoort.

PATCH /api/tasks/:id

Status of implementation_plan bijwerken. Minstens één van beide is verplicht. Toegestane status-waarden zijn todo, in_progress en done. review wordt door deze endpoint geweigerd zolang de sprint-UI die state niet rendert — gebruik de Kanban-board voor REVIEW-overgangen.

Body:

{ "status": "in_progress", "implementation_plan": "..." }

Response (200):

{
  "id": "...",
  "status": "in_progress",
  "implementation_plan": "..."
}

Foutcodes: 422 bij ongeldige body of onbekende status. 403 bij demo-token.

POST /api/stories/:id/log

Activiteit vastleggen op een story.

Body — IMPLEMENTATION_PLAN:

{
  "type": "IMPLEMENTATION_PLAN",
  "content": "Plan: ...",
  "metadata": { "branch": "feat/x" }
}

Body — TEST_RESULT:

{
  "type": "TEST_RESULT",
  "content": "Alle tests groen",
  "status": "PASSED",
  "metadata": { "ci_run": "..." }
}

Body — COMMIT:

{
  "type": "COMMIT",
  "content": "Werk afgerond",
  "commit_hash": "abc123",
  "commit_message": "feat(ST-XXX): ...",
  "metadata": { "branch": "feat/x" }
}

metadata is optioneel, vrij JSON-object. Response (201):

{ "id": "...", "created_at": "..." }

POST /api/todos

Nieuwe todo voor de tokengebruiker.

Body:

{
  "title": "Een ding doen",
  "description": "Optionele uitleg, max 2000 tekens",
  "product_id": "cmof..."
}

Response (201):

{ "id": "...", "title": "...", "description": "...", "created_at": "..." }

GET /api/realtime/solo?product_id=...

Server-Sent Events stream voor het Solo Paneel. Wordt gebruikt door de browser-UI (useSoloRealtime); voor Claude Code zelden relevant, maar gedocumenteerd voor volledigheid.

Auth: iron-session cookie of Bearer-token. Demo-tokens mogen lezen. Query params: product_id (verplicht). Response: text/event-stream. Stream blijft open tot de client sluit of de server na 240s een hard-close doet (client herconnect dan transparant).

Events:

  • event: ready — eenmalig direct na connect, met { product_id, sprint_id } als payload.

  • event: error — bij interne fouten (pg connect mislukt e.d.).

  • data: {...} — task/story mutaties die binnen scope vallen (zie hieronder). Payload-shape:

    {
  "op": "I" | "U" | "D",
  "entity": "task" | "story",
  "id": "cmof...",
  "story_id": "cmof...",
  "product_id": "cmof...",
  "sprint_id": "cmog..." ,
  "assignee_id": "cmof..." ,
  "task_status": "TO_DO" | "IN_PROGRESS" | "REVIEW" | "DONE",
  "task_title": "...",
  "task_sort_order": 1,
  "changed_fields": ["status", "updated_at"]
}

    Niet alle velden zijn altijd aanwezig — task_* alleen voor entity: "task", idem story_*. task_status gebruikt de DB-enum (UPPER_SNAKE), niet de lowercase API-vorm.

  • : heartbeat — SSE-comment elke 25s, om proxies keep-alive te houden. Kan genegeerd worden.

Server-side filter:

  • product_id matcht de query-param
  • sprint_id matcht de actieve sprint van het product
  • assignee_id is gelijk aan de ingelogde user (of null voor unassigned-story claims)

Niet-matchende events worden gedropt — clients ontvangen geen irrelevante data.

Voorbeeld (browser):

const source = new EventSource('/api/realtime/solo?product_id=cmof...')
source.onmessage = (e) => console.log(JSON.parse(e.data))

Auth — QR-pairing (M10)

Drie anonieme/cookie-geauthenticeerde endpoints voor de password-loze inlog via QR-pairing. Worden door de browser gebruikt (niet door Claude Code) — gedocumenteerd voor volledigheid en voor handmatige curl-tests.

Cookie-mechaniek: pair/start zet een korte s4m_pair-HttpOnly-cookie (Path=/api/auth/pair, Max-Age=300, SameSite=Lax, Secure in productie). pair/stream en pair/claim authenticeren tegen die cookie. Geheim materiaal zit nooit in URL-paden of querystrings — mobileSecret reist alleen via QR- fragment (#s=…) en POST-body, desktopToken alleen via cookie.

POST /api/auth/pair/start

Anon. Maakt een nieuwe LoginPairing aan en zet de pre-auth cookie.

Auth: geen. Body: geen. Rate-limit: 10 per IP per minuut (zelfde patroon als /login).

Response 200:

{
  "pairingId": "cmoh...",
  "mobileSecret": "<43-char base64url>",
  "expiresAt": "2026-04-27T20:30:00.000Z",
  "qrUrl": "https://.../m/pair#id=cmoh...&s=<mobileSecret>"
}

Plus Set-Cookie: s4m_pair=<desktopToken>; HttpOnly; Path=/api/auth/pair; Max-Age=300; SameSite=Lax.

Foutcodes: 429 bij rate-limit overschreden.

Voorbeeld:

curl -i -X POST -c /tmp/jar http://localhost:3000/api/auth/pair/start

GET /api/auth/pair/stream/:pairingId

Server-Sent Events stream die de desktop opent direct na pair/start om op de approve-bevestiging van de mobiel te wachten.

Auth: s4m_pair-cookie. Werkt vanuit EventSource met withCredentials: true. Path: pairingId is niet vertrouwelijk; cookie is het bewijs. Stream-duur: maximaal 240s (Vercel-buffer onder de 300s maxDuration); sluit zodra status consumed of cancelled doorkomt.

Events:

  • event: state — eenmalig direct na connect, met { pairing_id, status } (status van pairing op moment van connecten — voorkomt race wanneer approve net vóór SSE-open landt).
  • data: {...} — bij elke status-overgang. Payload: 
    { "op": "I" | "U", "pairing_id": "cmoh...", "status": "pending" | "approved" | "consumed" | "cancelled" }
  • : heartbeat — SSE-comment elke 25s.

Foutcodes: 401 zonder/foute cookie, 404 als pairing onbekend, 410 als pairing verlopen.

Voorbeeld:

curl -N -i -b /tmp/jar http://localhost:3000/api/auth/pair/stream/<pairingId>

POST /api/auth/pair/claim

Cookie-auth. Atomisch consume van een approved pairing → schrijft de echte session cookie zodat de desktop is ingelogd.

Auth: s4m_pair-cookie. Body: { "pairingId": "cmoh..." }.

Response 200: { "ok": true } plus

  • Set-Cookie: session=...; HttpOnly; SameSite=Lax — paired-sessie met paired: true en pairedExpiresAt = now + 8h payload-velden.
  • Set-Cookie: s4m_pair=...; Max-Age=0 — pre-auth cookie wordt gewist.

Foutcodes:

  • 400 bij ontbrekende of malformed body
  • 401 zonder cookie of bij hash-mismatch (cookie matcht geen pairing)
  • 410 als pairing al consumed/cancelled is (replay) of verlopen

Voorbeeld:

curl -i -X POST -b /tmp/jar -c /tmp/jar \
  -H "Content-Type: application/json" \
  -d '{"pairingId":"<pairingId>"}' \
  http://localhost:3000/api/auth/pair/claim

Notifications — Vraag-antwoord-kanaal (M11)

Endpoints voor de Claude vraag-antwoord-flow. De MCP-tools in de mcp-repo (ask_user_question, get_question_answer, list_open_questions, cancel_question) zijn de primaire schrijf-interface; de endpoints hieronder zijn voor de browser-UI en cron.

GET /api/realtime/notifications

Server-Sent Events stream voor de notifications-bell in de NavBar. User-scoped — geen product_id-param; filtert server-side op alle producten waar de gebruiker eigenaar of teamlid is.

Auth: iron-session cookie. Demo-gebruikers mogen lezen. Response: text/event-stream. Stream blijft open tot client sluit of server na 240s een hard-close doet (client herconnect).

Events:

  • event: state — eenmalig direct na connect, met { questions: [...] } als payload (zelfde shape als de live updates).
  • data: {...} — bij elke status-overgang in claude_questions. Payload-shape: 
    {
  "op": "I" | "U",
  "entity": "question",
  "id": "cmoh...",
  "product_id": "cmoh...",
  "story_id": "cmoh...",
  "task_id": "cmoh..." | null,
  "assignee_id": "cmoh..." | null,
  "status": "open" | "answered" | "cancelled" | "expired"
}
    Het is een delta — voor de volledige vraag-tekst en options reconnect de client (initial-state-event levert ze opnieuw).
  • : heartbeat — SSE-comment elke 25s.

Server-side filter:

  • payload.entity === 'question' (task en story events horen op /api/realtime/solo)
  • payload.product_id zit in de set producten met user-access (productAccessFilter)

Voorbeeld:

const source = new EventSource('/api/realtime/notifications', { withCredentials: true })

Cron — Expire questions

POST /api/cron/expire-questions

Vercel cron handler die dagelijks draait. Markeert verlopen open vragen als expired en verlopen pending login_pairings als cancelled.

Auth: Authorization: Bearer ${CRON_SECRET} — header die Vercel automatisch injecteert wanneer de env-var op de project-omgeving staat. Zonder secret of bij mismatch: 401.

Schedule: 0 4 * * * (dagelijks om 04:00 UTC; Vercel Hobby-plan staat alleen daily crons toe — Pro ondersteunt fijnmazigere schedules).

Response 200:

{
  "expired_questions": 0,
  "expired_pairings": 0,
  "ran_at": "2026-04-28T00:00:00.000Z"
}

Voorbeeld (handmatige trigger):

curl -X POST -H "Authorization: Bearer $CRON_SECRET" \
  https://your-app.vercel.app/api/cron/expire-questions

Cron — Cleanup agent artifacts

POST /api/cron/cleanup-agent-artifacts

Vercel cron handler die dagelijks draait. Verwijdert FAILED en CANCELLED claude_jobs waarvan finished_at ouder is dan 7 dagen. Hard-delete — geen historische waarde; audit-trail zit in git-commits.

Auth: Authorization: Bearer ${CRON_SECRET} — zelfde mechanisme als /api/cron/expire-questions. Zonder secret of bij mismatch: 401.

Schedule: 0 3 * * * (dagelijks om 03:00 UTC).

Response 200:

{
  "deleted": 3,
  "ran_at": "2026-05-01T03:00:00.000Z"
}

Voorbeeld (handmatige trigger):

curl -X POST -H "Authorization: Bearer $CRON_SECRET" \
  https://your-app.vercel.app/api/cron/cleanup-agent-artifacts

Workspace store endpoint audit (PBI-74)

product-workspace-store heeft vier ensure*Loaded-loaders. Deze tabel documenteert welke routes al bestaan en welke in Story 7 (T-870) toegevoegd worden. Tot dan retourneert de stub-default in vitest een lege response.

Loader URL Status Op te leveren in
ensureProductLoaded(productId) GET /api/products/:id/backlog ontbreekt T-870 (Story 7)
ensurePbiLoaded(pbiId) GET /api/pbis/:id/stories ontbreekt (en /api/pbis route-folder bestaat nog niet) T-870 (Story 7)
ensureStoryLoaded(storyId) GET /api/stories/:id/tasks ontbreekt (alleen tasks/reorder bestaat) T-870 (Story 7)
ensureTaskLoaded(taskId) GET /api/tasks/:id ontbreekt (alleen PATCH bestaat) T-870 (Story 7)

Vereisten voor de toe te voegen routes:

  • Auth via authenticateApiRequest (Bearer-token), conform bestaande patroon.
  • Access-control via getAccessibleProduct(productId, userId) uit lib/product-access.ts waar de route product-context heeft.
  • export const dynamic = 'force-dynamic' zodat Next geen response-cache introduceert (T-869 in Story 7).
  • Response-shape:
    • GET /api/products/:id/backlogProductBacklogSnapshot ({ product?, pbis[], storiesByPbi, tasksByStory }).
    • GET /api/pbis/:id/storiesBacklogStory[].
    • GET /api/stories/:id/tasksBacklogTask[].
    • GET /api/tasks/:idTaskDetail (extends BacklogTask met _detail: true plus extra velden zoals implementation_plan, acceptance_criteria, requires_opus, estimated_minutes).
  • Type-bron: stores/product-workspace/types.ts.

Auth/access-control wijzigt niet — de rearchitecture raakt alleen client-state, niet serverlaag-security.

Voorbeeldworkflow voor Claude Code

  1. Probe: GET /api/health?db=1 — bevestig dat de service en DB bereikbaar zijn.
  2. Context: GET /api/products/$ID/claude-context — haal product, sprint, volgende story en todos op in één call.
  3. Plan vastleggen: POST /api/stories/$STORY_ID/log met type: IMPLEMENTATION_PLAN.
  4. Per task: PATCH /api/tasks/$TASK_ID met status: "in_progress", daarna met status: "done" plus eventueel implementation_plan.
  5. Test: POST /api/stories/$STORY_ID/log met type: TEST_RESULT en status: PASSED|FAILED.
  6. Commit: POST /api/stories/$STORY_ID/log met type: COMMIT, commit_hash, commit_message, optioneel metadata: { branch }.