rene/banyaro
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Schutz gegen kursierende Partner-Codes (Rene: 'Bonus-Codes kursieren gerne das Internet')

Browse source 
1. QR-URL verrät den Code nicht mehr: /q/{token} → /?qr=TOKEN (vorher stand
   der tippbare Code in der Adresszeile jedes Scanners). Registrierung löst
   den Code server-seitig aus dem Token auf (auch ohne ref_code).
2. Notbremse: partner_codes.active — Admin kann Codes pausieren (Einlösung
   gesperrt, Info-Endpoint 404, Historie/QR-Kontingente bleiben) und
   reaktivieren. UI: ⏸/▶-Toggle + pausiert-Badge in der Codes-Tabelle.
3. max_uses im Anlege-Formular standardmäßig 50 statt unbegrenzt.

Tests: QR-only-Registrierung, Pause→keine Einlösung→Reaktivierung,
Redirect ohne Klartext-Code. Suite: 54 passed.
This commit is contained in:
rene 2026-06-07 19:35:31 +02:00
parent 21bcc6b962
commit 2927ae2672
11 changed files with 136 additions and 39 deletions
Download patch file Download diff file Expand all files Collapse all files

24
backend/static/index.html
View file

@ -86,14 +86,14 @@
<title>Ban Yaro</title>
<!-- Theme + theme-color Statusleiste vor CSS setzen -->
<script src="/js/boot-early.js?v=1264"></script>
<script src="/js/boot-early.js?v=1265"></script>
<!-- CSS: Reihenfolge ist wichtig — ?v= zwingt Browser zur Neuladung -->
<link rel="stylesheet" href="/css/design-system.css?v=1264">
<link rel="stylesheet" href="/css/layout.css?v=1264">
<link rel="stylesheet" href="/css/components.css?v=1264">
<link rel="stylesheet" href="/css/utilities.css?v=1264">
<link rel="stylesheet" href="/css/lists.css?v=1264">
<link rel="stylesheet" href="/css/design-system.css?v=1265">
<link rel="stylesheet" href="/css/layout.css?v=1265">
<link rel="stylesheet" href="/css/components.css?v=1265">
<link rel="stylesheet" href="/css/utilities.css?v=1265">
<link rel="stylesheet" href="/css/lists.css?v=1265">
</head>
<body>
@ -616,11 +616,11 @@
<div id="modal-container"></div>
<!-- JS: Reihenfolge ist wichtig — erst Basis, dann Features -->
<script src="/js/api.js?v=1264"></script>
<script src="/js/ui.js?v=1264"></script>
<script src="/js/app.js?v=1264"></script>
<script src="/js/worlds.js?v=1264"></script>
<script src="/js/offline-indicator.js?v=1264"></script>
<script src="/js/api.js?v=1265"></script>
<script src="/js/ui.js?v=1265"></script>
<script src="/js/app.js?v=1265"></script>
<script src="/js/worlds.js?v=1265"></script>
<script src="/js/offline-indicator.js?v=1265"></script>
<!-- Feature-Seiten werden lazy geladen -->
@ -630,7 +630,7 @@
<!-- Boot: Offline-Banner + SW-Registration (extrahiert für CSP) -->
<script src="/js/boot.js?v=1264"></script>
<script src="/js/boot.js?v=1265"></script>
</body>

13
backend/static/js/app.js
View file

@ -3,7 +3,7 @@
Router, State-Management, Navigation, Initialisierung.
============================================================ */
const APP_VER = '1264'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
const APP_VER = '1265'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
const APP_VERSION = '1.6.0'; // ← semantische Version, wird bei make release gesetzt
window.APP_VER = APP_VER; // global verfügbar für andere Module (z.B. offline-indicator)
window.APP_VERSION = APP_VERSION;
@ -1142,11 +1142,14 @@ const App = (() => {
const urlParams = new URLSearchParams(window.location.search);
const refCode = urlParams.get('ref');
const qrToken = urlParams.get('qr');
if (refCode) {
if (refCode || qrToken) {
try {
localStorage.setItem('by_ref_code', refCode.toUpperCase());
localStorage.setItem('by_ref_code_ts', String(Date.now()));
// Partner-QR-Token (Sticker/Flyer) für Einzelcode-Rückverfolgung mitspeichern
if (refCode) {
localStorage.setItem('by_ref_code', refCode.toUpperCase());
localStorage.setItem('by_ref_code_ts', String(Date.now()));
}
// Partner-QR-Token (Sticker/Flyer): kommt bewusst OHNE Klartext-Code —
// die Registrierung löst den Partner-Code server-seitig aus dem Token auf
if (qrToken) localStorage.setItem('by_qr_token', qrToken);
} catch {}
// URL bereinigen ohne Reload

25
backend/static/js/pages/admin.js
View file

@ -2326,8 +2326,8 @@ window.Page_admin = (() => {
</div>
<div style="display:grid;grid-template-columns:1fr 1fr;gap:var(--space-3);align-items:center">
<div>
<label class="form-label text-xs">Max. Einlösungen <span class="text-muted">(leer = unbegrenzt)</span></label>
<input class="form-control" name="max_uses" type="number" min="1" placeholder="∞">
<label class="form-label text-xs">Max. Einlösungen <span class="text-muted">(leer = unbegrenzt Vorsicht, Codes kursieren gern im Netz)</span></label>
<input class="form-control" name="max_uses" type="number" min="1" value="50" placeholder="∞">
</div>
<div style="display:flex;align-items:center;gap:var(--space-2);padding-top:var(--space-5)">
<input type="checkbox" id="adm-grants-founder" name="grants_founder" checked
@ -2361,9 +2361,10 @@ window.Page_admin = (() => {
</thead>
<tbody>
${codes.map(c => `
<tr style="border-bottom:1px solid var(--c-border)" data-code-id="${c.id}">
<tr style="border-bottom:1px solid var(--c-border);${c.active ? '' : 'opacity:.55'}" data-code-id="${c.id}">
<td style="padding:var(--space-2) var(--space-3)">
<code style="font-weight:700;color:var(--c-primary);letter-spacing:.08em">${c.code}</code>
${c.active ? '' : `<div><span class="badge" style="background:#fee2e2;color:#dc2626;font-size:10px">⏸ pausiert</span></div>`}
</td>
<td style="padding:var(--space-2) var(--space-3);color:var(--c-text)">
${c.label}
@ -2379,7 +2380,12 @@ window.Page_admin = (() => {
<td style="padding:var(--space-2) var(--space-3);text-align:center">
${c.grants_founder ? '✓' : '—'}
</td>
<td style="padding:var(--space-2) var(--space-3)">
<td style="padding:var(--space-2) var(--space-3);white-space:nowrap;text-align:right">
<button class="btn btn-ghost btn-sm adm-toggle-code" data-id="${c.id}"
title="${c.active ? 'Pausieren — Notbremse wenn der Code im Netz kursiert (Einlösung gesperrt, Historie bleibt)' : 'Wieder aktivieren'}"
style="font-size:var(--text-xs)">
${c.active ? '⏸ Pausieren' : '▶ Aktivieren'}
</button>
<button class="btn btn-ghost btn-sm adm-del-code" data-id="${c.id}"
style="color:var(--c-danger,#dc2626);font-size:var(--text-xs)">
${UI.icon('trash')} Löschen
@ -2565,6 +2571,17 @@ window.Page_admin = (() => {
</div>
`;
// Code pausieren/aktivieren (Notbremse bei geleakten Codes)
el.querySelectorAll('.adm-toggle-code').forEach(btn => {
btn.addEventListener('click', async () => {
try {
const r = await API.post(`/admin/partner/codes/${btn.dataset.id}/toggle`, {});
UI.toast.success(r.active ? 'Code wieder aktiv.' : 'Code pausiert — Einlösungen sind gesperrt.');
await _renderPartner(el);
} catch (err) { UI.toast.error(err.message); }
});
});
// Code-Besitzer zuordnen (Self-Service-QR-Zugriff für den Partner)
el.querySelectorAll('.adm-code-owner').forEach(btn => {
btn.addEventListener('click', async () => {

2
backend/static/landing.html
View file

@ -4,7 +4,7 @@
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="color-scheme" content="light dark">
<script src="/js/landing-init.js?v=1264"></script>
<script src="/js/landing-init.js?v=1265"></script>
<title>Ban Yaro — Die Hunde-App für Deutschland, Österreich & Schweiz</title>
<meta name="description" content="Ban Yaro: Die kostenlose All-in-One Hunde-App für DACH. Tagebuch, Giftköder-Alarm, Training mit KI, Forum, Wurfbörse, Stammbaum, Inzucht-Check — DSGVO-konform, offline-fähig, direkt im Browser.">
<meta name="keywords" content="Hunde App, Hunde Community, Wurfbörse, Züchter, Welpen kaufen, Stammbaum Hund, Inzuchtkoeffizient, Hundezucht, Impfpass Hund, Giftköder Alarm, Gassi Community, Hundetraining App, Hunde Forum, Hunde KI, Hundefilm Datenbank, Welpen Marktplatz">

2
backend/static/sw.js
View file

@ -4,7 +4,7 @@
============================================================ */
// ← EINZIGE Stelle für die Version — STATIC_ASSETS und CACHE_VERSION leiten sich ab
const VER = '1264';
const VER = '1265';
const CACHE_VERSION = `by-v${VER}`;
const CACHE_STATIC = `${CACHE_VERSION}-static`;
const CACHE_TILES = 'ban-yaro-tiles-v1'; // bleibt über SW-Updates erhalten