Madhura68
e5819ee079
docs/API.md — twee nieuwe secties: - 'Notifications' met /api/realtime/notifications SSE-endpoint (event-shapes, filter-rules, voorbeeld) - 'Cron — Expire questions' met /api/cron/expire-questions (Bearer-auth, schedule, response-shape, manual curl) docs/scrum4me-architecture.md — nieuw hoofdstuk 'Vraag-antwoord-kanaal Claude ↔ user' tussen QR-pairing-flow en Projectstructuur: - Mermaid sequence-diagram (Claude → DB → trigger → SSE → user → answer → trigger → Claude polls) - Threat-model-tabel (race, demo-misbruik, cross-product leak, cron-misbruik, growth, log-leakage) - Subsectie 'Waarom hergebruik scrum4me_changes-kanaal' met trade-off vs M10's eigen-kanaal-aanpak docs/patterns/claude-question-channel.md — herbruikbaar pattern 'Bidirectionele async-comms tussen MCP-agent en interactieve user' met de vier eindpunten, vier security-uitgangspunten, channel-strategie-tabel, TTL-richtlijn, en sjabloon-bestanden per laag (DB / server / client / MCP-tools). CLAUDE.md — extra rij in Implementatiepatronen-tabel die naar het nieuwe pattern-doc verwijst. Acceptatie 6 scenario's: 1. Sync happy path (MCP wait_seconds + UI submit) — handmatig getest tijdens ST-1105 acceptance-loop met de q-test injection 2. Async happy path — gedekt door get_question_answer-tool in ST-1102 + list_open_questions 3. Demo-block — actions/questions.test.ts (case 2: demo-user) + AnswerModal tooltip (visueel) 4. Access-isolation — notifications-stream.test.ts (case 'access-isolation') 5. Expiry — cron-expire-questions.test.ts (case '200 met juiste secret') 6. Race — actions/questions.test.ts (case 'al-answered' via atomic updateMany) Quality gates: lint 0 errors, tsc clean, vitest 151/151 (19 files), npm run build groen. M11 is hiermee feature-compleet. feat/M11-claude-questions heeft 12 commits lokaal, klaar voor user-acceptatie en PR. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
14 KiB
Scrum4Me REST API
REST-API contract voor Claude Code en andere clients.
Authenticatie
Alle endpoints behalve GET /api/health vereisen een Bearer-token:
Authorization: Bearer <token>
Tokens beheer je via Instellingen → Tokens (/settings/tokens). Een token is gekoppeld aan één gebruiker; een demo-account-token kan lezen maar niet schrijven (403).
Status-enums
De API gebruikt lowercase statussen. De database gebruikt UPPER_SNAKE; de vertaling gebeurt op de boundary.
| Entiteit | Waarden |
|---|---|
| Task status | todo, in_progress, review, done |
| Story status | open, in_sprint, done |
Foutcodes
| Code | Betekenis |
|---|---|
200 |
OK |
201 |
Created |
400 |
Malformed body (bv. ongeldige JSON) |
401 |
Token ontbreekt of ongeldig |
403 |
Token heeft geen toegang (demo-account, geen lid van product) |
404 |
Resource niet gevonden |
422 |
Validatiefout — body is wel-gevormd maar niet acceptabel |
500 |
Onverwachte serverfout |
Endpoints
GET /api/health
Health-probe. Geen authenticatie vereist.
Query params: ?db=1 voegt een DB-ping toe.
Response (200):
{ "status": "ok", "version": "0.3.x", "time": "2026-04-26T20:00:00Z" }
Met ?db=1:
{ "status": "ok", "version": "0.3.x", "time": "...", "database": "ok" }
database is "ok" of "down". De endpoint zelf retourneert altijd 200.
curl https://scrum4me.app/api/health?db=1
GET /api/products
Lijst van actieve producten waar de tokengebruiker eigenaar of lid van is.
Response (200):
[
{
"id": "cmofu...",
"code": "SCRUM4ME",
"name": "Scrum4Me",
"description": "...",
"repo_url": "https://github.com/...",
"definition_of_done": "..."
}
]
curl -H "Authorization: Bearer $TOKEN" https://scrum4me.app/api/products
GET /api/products/:id/claude-context
Bundled context voor Claude Code: product, actieve sprint, volgende story (met tasks) en open todos van de tokengebruiker — in één call.
Response (200):
{
"product": { "id", "code", "name", "description", "repo_url", "definition_of_done" },
"active_sprint": { "id": "...", "sprint_goal": "...", "status": "ACTIVE" } | null,
"next_story": {
"id", "code", "title", "description", "acceptance_criteria",
"priority", "status",
"tasks": [
{ "id", "code", "title", "description", "implementation_plan",
"priority", "sort_order", "status" }
]
} | null,
"open_todos": [
{ "id", "title", "description", "created_at" }
]
}
open_todos is gelimiteerd op 50 items, gesorteerd op created_at asc. Demo-tokens kunnen dit endpoint lezen.
curl -H "Authorization: Bearer $TOKEN" \
https://scrum4me.app/api/products/$PRODUCT_ID/claude-context
GET /api/products/:id/next-story
Hoogst geprioriteerde open story in de actieve sprint.
Response (200):
{
"id": "...",
"code": "ST-356",
"title": "Solo Kanban-bord met DnD en Zustand",
"description": "...",
"acceptance_criteria": "...",
"status": "in_sprint",
"tasks": [
{
"id": "...",
"code": "ST-356.1",
"title": "Store stores/solo-store.ts",
"description": "...",
"implementation_plan": null,
"priority": 2,
"sort_order": 1,
"status": "todo"
}
]
}
Foutcodes: 404 als geen actieve sprint of geen open stories.
GET /api/sprints/:id/tasks
Lijst taken van de sprint, geordend op (story.sort_order, task.priority, task.sort_order).
Query params: ?limit=N (default 10, max 50)
Response (200):
[
{
"id": "...",
"code": "ST-356.1",
"title": "...",
"description": "...",
"implementation_plan": null,
"story_id": "...",
"story_code": "ST-356",
"priority": 2,
"sort_order": 1,
"status": "todo"
}
]
PATCH /api/stories/:id/tasks/reorder
Volgorde van taken binnen een story aanpassen.
Body:
{ "task_ids": ["task-id-a", "task-id-b", "task-id-c"] }
Alle IDs moeten bij de story horen. Foutcodes: 422 bij Zod-fouten of als een task_id niet tot de story behoort.
PATCH /api/tasks/:id
Status of implementation_plan bijwerken. Minstens één van beide is verplicht.
Toegestane status-waarden zijn todo, in_progress en done. review
wordt door deze endpoint geweigerd zolang de sprint-UI die state niet
rendert — gebruik de Kanban-board voor REVIEW-overgangen.
Body:
{ "status": "in_progress", "implementation_plan": "..." }
Response (200):
{
"id": "...",
"status": "in_progress",
"implementation_plan": "..."
}
Foutcodes: 422 bij ongeldige body of onbekende status. 403 bij demo-token.
POST /api/stories/:id/log
Activiteit vastleggen op een story.
Body — IMPLEMENTATION_PLAN:
{
"type": "IMPLEMENTATION_PLAN",
"content": "Plan: ...",
"metadata": { "branch": "feat/x" }
}
Body — TEST_RESULT:
{
"type": "TEST_RESULT",
"content": "Alle tests groen",
"status": "PASSED",
"metadata": { "ci_run": "..." }
}
Body — COMMIT:
{
"type": "COMMIT",
"content": "Werk afgerond",
"commit_hash": "abc123",
"commit_message": "feat(ST-XXX): ...",
"metadata": { "branch": "feat/x" }
}
metadata is optioneel, vrij JSON-object. Response (201):
{ "id": "...", "created_at": "..." }
POST /api/todos
Nieuwe todo voor de tokengebruiker.
Body:
{
"title": "Een ding doen",
"description": "Optionele uitleg, max 2000 tekens",
"product_id": "cmof..."
}
Response (201):
{ "id": "...", "title": "...", "description": "...", "created_at": "..." }
GET /api/realtime/solo?product_id=...
Server-Sent Events stream voor het Solo Paneel. Wordt gebruikt door de browser-UI (useSoloRealtime); voor Claude Code zelden relevant, maar gedocumenteerd voor volledigheid.
Auth: iron-session cookie of Bearer-token. Demo-tokens mogen lezen.
Query params: product_id (verplicht).
Response: text/event-stream. Stream blijft open tot de client sluit of de server na 240s een hard-close doet (client herconnect dan transparant).
Events:
-
event: ready— eenmalig direct na connect, met{ product_id, sprint_id }als payload. -
event: error— bij interne fouten (pg connect mislukt e.d.). -
data: {...}— task/story mutaties die binnen scope vallen (zie hieronder). Payload-shape:{ "op": "I" | "U" | "D", "entity": "task" | "story", "id": "cmof...", "story_id": "cmof...", "product_id": "cmof...", "sprint_id": "cmog..." , "assignee_id": "cmof..." , "task_status": "TO_DO" | "IN_PROGRESS" | "REVIEW" | "DONE", "task_title": "...", "task_sort_order": 1, "changed_fields": ["status", "updated_at"] }Niet alle velden zijn altijd aanwezig —
task_*alleen voorentity: "task", idemstory_*.task_statusgebruikt de DB-enum (UPPER_SNAKE), niet de lowercase API-vorm. -
: heartbeat— SSE-comment elke 25s, om proxies keep-alive te houden. Kan genegeerd worden.
Server-side filter:
product_idmatcht de query-paramsprint_idmatcht de actieve sprint van het productassignee_idis gelijk aan de ingelogde user (ofnullvoor unassigned-story claims)
Niet-matchende events worden gedropt — clients ontvangen geen irrelevante data.
Voorbeeld (browser):
const source = new EventSource('/api/realtime/solo?product_id=cmof...')
source.onmessage = (e) => console.log(JSON.parse(e.data))
Auth — QR-pairing (M10)
Drie anonieme/cookie-geauthenticeerde endpoints voor de password-loze inlog via QR-pairing. Worden door de browser gebruikt (niet door Claude Code) — gedocumenteerd voor volledigheid en voor handmatige curl-tests.
Cookie-mechaniek: pair/start zet een korte s4m_pair-HttpOnly-cookie
(Path=/api/auth/pair, Max-Age=300, SameSite=Lax, Secure in productie).
pair/stream en pair/claim authenticeren tegen die cookie. Geheim materiaal
zit nooit in URL-paden of querystrings — mobileSecret reist alleen via QR-
fragment (#s=…) en POST-body, desktopToken alleen via cookie.
POST /api/auth/pair/start
Anon. Maakt een nieuwe LoginPairing aan en zet de pre-auth cookie.
Auth: geen.
Body: geen.
Rate-limit: 10 per IP per minuut (zelfde patroon als /login).
Response 200:
{
"pairingId": "cmoh...",
"mobileSecret": "<43-char base64url>",
"expiresAt": "2026-04-27T20:30:00.000Z",
"qrUrl": "https://.../m/pair#id=cmoh...&s=<mobileSecret>"
}
Plus Set-Cookie: s4m_pair=<desktopToken>; HttpOnly; Path=/api/auth/pair; Max-Age=300; SameSite=Lax.
Foutcodes: 429 bij rate-limit overschreden.
Voorbeeld:
curl -i -X POST -c /tmp/jar http://localhost:3000/api/auth/pair/start
GET /api/auth/pair/stream/:pairingId
Server-Sent Events stream die de desktop opent direct na pair/start om op
de approve-bevestiging van de mobiel te wachten.
Auth: s4m_pair-cookie. Werkt vanuit EventSource met withCredentials: true.
Path: pairingId is niet vertrouwelijk; cookie is het bewijs.
Stream-duur: maximaal 240s (Vercel-buffer onder de 300s maxDuration); sluit
zodra status consumed of cancelled doorkomt.
Events:
event: state— eenmalig direct na connect, met{ pairing_id, status }(status van pairing op moment van connecten — voorkomt race wanneer approve net vóór SSE-open landt).data: {...}— bij elke status-overgang. Payload:{ "op": "I" | "U", "pairing_id": "cmoh...", "status": "pending" | "approved" | "consumed" | "cancelled" }: heartbeat— SSE-comment elke 25s.
Foutcodes: 401 zonder/foute cookie, 404 als pairing onbekend, 410 als pairing verlopen.
Voorbeeld:
curl -N -i -b /tmp/jar http://localhost:3000/api/auth/pair/stream/<pairingId>
POST /api/auth/pair/claim
Cookie-auth. Atomisch consume van een approved pairing → schrijft de echte
scrum4me-session cookie zodat de desktop is ingelogd.
Auth: s4m_pair-cookie.
Body: { "pairingId": "cmoh..." }.
Response 200: { "ok": true } plus
Set-Cookie: scrum4me-session=...; HttpOnly; SameSite=Lax— paired-sessie metpaired: trueenpairedExpiresAt = now + 8hpayload-velden.Set-Cookie: s4m_pair=...; Max-Age=0— pre-auth cookie wordt gewist.
Foutcodes:
400bij ontbrekende of malformed body401zonder cookie of bij hash-mismatch (cookie matcht geen pairing)410als pairing al consumed/cancelled is (replay) of verlopen
Voorbeeld:
curl -i -X POST -b /tmp/jar -c /tmp/jar \
-H "Content-Type: application/json" \
-d '{"pairingId":"<pairingId>"}' \
http://localhost:3000/api/auth/pair/claim
Notifications — Vraag-antwoord-kanaal (M11)
Endpoints voor de Claude vraag-antwoord-flow. De MCP-tools in de scrum4me-mcp-repo (ask_user_question, get_question_answer, list_open_questions, cancel_question) zijn de primaire schrijf-interface; de endpoints hieronder zijn voor de browser-UI en cron.
GET /api/realtime/notifications
Server-Sent Events stream voor de notifications-bell in de NavBar. User-scoped — geen product_id-param; filtert server-side op alle producten waar de gebruiker eigenaar of teamlid is.
Auth: iron-session cookie. Demo-gebruikers mogen lezen.
Response: text/event-stream. Stream blijft open tot client sluit of server na 240s een hard-close doet (client herconnect).
Events:
event: state— eenmalig direct na connect, met{ questions: [...] }als payload (zelfde shape als de live updates).data: {...}— bij elke status-overgang inclaude_questions. Payload-shape:
Het is een delta — voor de volledige vraag-tekst en options reconnect de client (initial-state-event levert ze opnieuw).{ "op": "I" | "U", "entity": "question", "id": "cmoh...", "product_id": "cmoh...", "story_id": "cmoh...", "task_id": "cmoh..." | null, "assignee_id": "cmoh..." | null, "status": "open" | "answered" | "cancelled" | "expired" }: heartbeat— SSE-comment elke 25s.
Server-side filter:
payload.entity === 'question'(taskenstoryevents horen op/api/realtime/solo)payload.product_idzit in de set producten met user-access (productAccessFilter)
Voorbeeld:
const source = new EventSource('/api/realtime/notifications', { withCredentials: true })
Cron — Expire questions
POST /api/cron/expire-questions
Vercel cron handler die elke 6 uur draait. Markeert verlopen open vragen als expired en verlopen pending login_pairings als cancelled.
Auth: Authorization: Bearer ${CRON_SECRET} — header die Vercel automatisch injecteert wanneer de env-var op de project-omgeving staat. Zonder secret of bij mismatch: 401.
Schedule: 0 */6 * * * (4× per dag).
Response 200:
{
"expired_questions": 0,
"expired_pairings": 0,
"ran_at": "2026-04-28T00:00:00.000Z"
}
Voorbeeld (handmatige trigger):
curl -X POST -H "Authorization: Bearer $CRON_SECRET" \
https://your-app.vercel.app/api/cron/expire-questions
Voorbeeldworkflow voor Claude Code
- Probe:
GET /api/health?db=1— bevestig dat de service en DB bereikbaar zijn. - Context:
GET /api/products/$ID/claude-context— haal product, sprint, volgende story en todos op in één call. - Plan vastleggen:
POST /api/stories/$STORY_ID/logmettype: IMPLEMENTATION_PLAN. - Per task:
PATCH /api/tasks/$TASK_IDmetstatus: "in_progress", daarna metstatus: "done"plus eventueelimplementation_plan. - Test:
POST /api/stories/$STORY_ID/logmettype: TEST_RESULTenstatus: PASSED|FAILED. - Commit:
POST /api/stories/$STORY_ID/logmettype: COMMIT,commit_hash,commit_message, optioneelmetadata: { branch }.