Fix: Referral-Code überlebt App-Schließen (localStorage statt sessionStorage)

Werben-Zuordnung ging verloren, wenn die geworbene Person den ?ref=-Link öffnete,
die App schloss und sich erst später registrierte (sessionStorage flüchtig, v.a.
iOS-PWA). Jetzt: Code früh in boot.js nach localStorage (vor evtl. SW-Reload, der
die URL ersetzt), 30-Tage-Ablauf, Löschung nach Registrierung. SW v1169

Datenkorrektur separat: nacho_sarah Angie (id=4) als 2. Werbung zugeordnet.

backend/static/js/app.js

@@ -3,7 +3,7 @@
    Router, State-Management, Navigation, Initialisierung.
    ============================================================ */
 
-const APP_VER     = '1168'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
+const APP_VER     = '1169'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
 const APP_VERSION = '1.6.0'; // ← semantische Version, wird bei make release gesetzt
 window.APP_VER     = APP_VER;       // global verfügbar für andere Module (z.B. offline-indicator)
 window.APP_VERSION = APP_VERSION;
@@ -1116,11 +1116,15 @@ const App = (() => {
       sessionStorage.setItem('by_stay_in_app', '1');
     }
 
-    // Referral-Code aus URL ?ref=CODE speichern
+    // Referral-Code aus URL ?ref=CODE speichern (Backup zu boot.js; localStorage
+    // überlebt App-Schließen, sodass die Zuordnung auch bei späterer Registrierung klappt)
     const urlParams = new URLSearchParams(window.location.search);
     const refCode = urlParams.get('ref');
     if (refCode) {
-      sessionStorage.setItem('by_ref_code', refCode.toUpperCase());
+      try {
+        localStorage.setItem('by_ref_code', refCode.toUpperCase());
+        localStorage.setItem('by_ref_code_ts', String(Date.now()));
+      } catch {}
       // URL bereinigen ohne Reload
       history.replaceState({}, '', window.location.pathname + window.location.hash);
     }

backend/static/js/boot.js

@@ -4,6 +4,22 @@
    Extrahiert aus index.html für CSP-Härtung (kein unsafe-inline)
    ============================================================ */
 
+// ----------------------------------------------------------
+// Referral-Code aus ?ref= SOFORT in localStorage sichern — so früh wie möglich,
+// bevor ein SW-Update-Reload die URL durch /?_t=... ersetzt und den Code verliert.
+// localStorage (statt sessionStorage) überlebt auch App-Schließen/PWA-Neustart,
+// sodass die Zuordnung auch klappt, wenn sich die Person erst später registriert.
+// ----------------------------------------------------------
+(function() {
+  try {
+    var rc = new URLSearchParams(location.search).get('ref');
+    if (rc) {
+      localStorage.setItem('by_ref_code', rc.toUpperCase());
+      localStorage.setItem('by_ref_code_ts', String(Date.now()));
+    }
+  } catch (e) {}
+})();
+
 // ----------------------------------------------------------
 // Offline-Banner
 // ----------------------------------------------------------

backend/static/js/pages/settings.js

@@ -2485,13 +2485,27 @@ window.Page_settings = (() => {
       });
     }
 
+    // Referral-Code aus localStorage lesen (30-Tage-Ablauf) bzw. löschen.
+    const _storedRefCode = () => {
+      try {
+        const code = localStorage.getItem('by_ref_code') || '';
+        if (!code) return '';
+        const ts = parseInt(localStorage.getItem('by_ref_code_ts') || '0', 10);
+        if (ts && Date.now() - ts > 30 * 24 * 3600 * 1000) { _clearRefCode(); return ''; }
+        return code;
+      } catch { return ''; }
+    };
+    const _clearRefCode = () => {
+      try { localStorage.removeItem('by_ref_code'); localStorage.removeItem('by_ref_code_ts'); } catch {}
+    };
+
     // Partner-Code live validieren
     const partnerInput = document.getElementById('reg-partner-code');
     const partnerHint  = document.getElementById('reg-partner-hint');
     let _partnerValid  = false;
     if (partnerInput) {
-      // Vorausfüllen falls via sessionStorage gesetzt
-      const stored = sessionStorage.getItem('by_ref_code') || '';
+      // Vorausfüllen falls via Referral-Link gesetzt (localStorage, überlebt App-Schließen)
+      const stored = _storedRefCode();
       if (stored) partnerInput.value = stored;
 
       let _debounce = null;
@@ -2539,10 +2553,10 @@ window.Page_settings = (() => {
 
       await UI.asyncButton(btn, async () => {
         const partnerCode = (fd.partner_code || '').trim().toUpperCase() || undefined;
-        const refCode     = sessionStorage.getItem('by_ref_code') || '';
+        const refCode     = _storedRefCode();
         const finalCode   = partnerCode || refCode || undefined;
         const result = await API.auth.register(fd.email, fd.password, fd.name.trim(), finalCode);
-        if (refCode) sessionStorage.removeItem('by_ref_code');
+        if (refCode) _clearRefCode();
 
         if (result.pending_verification) {
           _renderVerifyPending(fd.email);