Madhura68 e0bec8c55c feat(ST-1003): add /api/auth/pair/start with rate-limit + pre-auth cookie ... POST /api/auth/pair/start (anon, runtime: 'nodejs'): - Geen authenticateApiRequest — desktop heeft nog geen sessie - Genereert los mobileSecret + desktopToken via lib/auth/pairing - Persisteert alleen sha256-hashes in login_pairings; status='pending', expires_at = now + 2 min - Slaat user-agent + best-effort IP op (afgekapt op kolom-grootte) - Set-Cookie via setPairCookie helper: HttpOnly, Path=/api/auth/pair, Max-Age=120, SameSite=Lax - Response body: { pairingId, mobileSecret, expiresAt, qrUrl } met qrUrl = origin/m/pair#id=…&s=… → secret reist alleen via fragment (#…), nooit in querystring of access logs Rate-limit: 'pair-start' expliciet aan lib/rate-limit.ts CONFIGS toegevoegd voor self-documentatie (10/min, gelijk aan login). Tests __tests__/api/pair-start.test.ts (6 cases): - 200 met body-shape (pairingId, mobileSecret 43-char base64url, qrUrl met fragment, expiresAt ISO) - alleen hashes in DB, geen plaintext - cookie set met juiste opties - UA + IP afgekapt op kolom-grootte - IP=null als x-forwarded-for ontbreekt - 11e POST levert 429 met NL foutmelding Quality gates: lint 0 errors, tsc clean (na prisma generate), vitest 117/117. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>		2026-04-27 22:34:49 +02:00
..
actions	feat(M9): active product backlog — persistent active PB, NavBar splits, sprint card styling (#10)	2026-04-27 20:25:13 +02:00
api	feat(ST-1003): add /api/auth/pair/start with rate-limit + pre-auth cookie	2026-04-27 22:34:49 +02:00
lib/auth	feat(ST-1002): add pairing helpers, pre-auth cookie + paired-session guard	2026-04-27 22:23:00 +02:00
stores	feat(M8): Realtime Solo Paneel via Postgres LISTEN/NOTIFY (ST-801..ST-806) (#8)	2026-04-27 13:59:32 +02:00
lars-flow-checklist.md	docs(ST-612): update Lars-flow checklist met todo Data Table stappen	2026-04-25 20:10:16 +02:00