Big Sweep: Security + Race-Conditions + Tests + DSGVO + A11y, SW by-v1095

SECURITY (auth.py, routes/auth.py, database.py, main.py) - JWT bekommt jti; Logout trägt in neue jwt_blacklist-Tabelle ein, decode_token() prüft → server-side Invalidierung - JWT-Expiry default 30 → 7 Tage (ENV JWT_EXPIRY_DAYS überschreibt) - Sliding-Refresh-Middleware: erneuert Cookie wenn >50% verbraucht (Schwelle via JWT_REFRESH_FRACTION, Default 2) - Login-Lockout in DB-Tabelle login_attempts (5 Versuche / 15 Min, überlebt Container-Restart) — alte In-Memory-Lockouts ersetzt - SMTP-Versand: alle 'except: pass' durch logger.exception ersetzt; Fehlversuche landen in failed_emails-Tabelle für späteres Retry - Referral-Counter Race gefixt: UPDATE partner_codes SET uses=uses+1 ... WHERE uses<max_uses RETURNING — atomar statt SELECT+UPDATE RACE CONDITIONS (routes/invoices.py, database.py) - Neue invoice_counters-Tabelle für atomare Nummernvergabe - _next_invoice_number nutzt BEGIN IMMEDIATE + atomares UPDATE - Funktioniert für RG- und ST-Prefixe (Stornorechnungen) - Race-Test verifiziert (5 Threads × 20 Calls = 100 eindeutige Nummern) VERSION + TESTS + ERROR-DIGEST (VERSION, Makefile, tests/, scheduler.py) - Neue VERSION-Datei (Single Source of Truth) — main.py liest beim Startup - Makefile-Target 'make bump' propagiert in sw.js, app.js, index.html - Makefile-Target 'make test' setzt venv auf, läuft pytest - 19 Smoke-Tests in tests/ (health, auth, diary, invoice) — alle grün - Scheduler: täglicher _job_error_digest um 06:30 → schickt Error- Zusammenfassung an ADMIN_EMAIL (still wenn keine Errors) DSGVO + A11Y + ERSTE-HILFE - landing.html: 'HTML und ODS' → 'JSON' (tatsächlich implementiert) - datenschutz.js: Sektion Account-Löschung erweitert (sofort gelöscht / anonymisiert / 10 Jahre für Rechnungen) - erste-hilfe.js: prominentes Warning-Banner oben (ersetzt keine Tierarzt-Beratung); Notfallnummern gruppiert nach Land, TODO-Platz- halter für AT-Uni-Klinik, CH Tox Info Suisse, CH Tierspital Zürich - ui.js Modal: ESC schließt, Focus-Trap, Auto-Focus erstes Element, Restore Focus auf vorigen Caller - impressum.js Kontaktformular: Labels mit for=cf-name etc. NEUE DB-TABELLEN (idempotent via CREATE TABLE IF NOT EXISTS) - jwt_blacklist, login_attempts, failed_emails, invoice_counters NEUE ENV-VARS - JWT_REFRESH_FRACTION (Default 2) - JWT_EXPIRY_DAYS Default geändert (30 → 7)
2026-05-26 20:12:01 +02:00 · 2026-05-26 20:12:01 +02:00 · 9394bab1fb
commit 9394bab1fb
parent 6224044654
23 changed files with 1208 additions and 78 deletions
--- a/backend/main.py
+++ b/backend/main.py
@ -123,6 +123,28 @@ class SecurityHeadersMiddleware(BaseHTTPMiddleware):
 app.add_middleware(SecurityHeadersMiddleware)


+class _SlidingTokenRefreshMiddleware(BaseHTTPMiddleware):
+    """Sliding-Session: wenn get_current_user ein neues Token vorbereitet hat
+    (request.state.refresh_token), schreiben wir es als HttpOnly-Cookie zurück.
+    So bleibt der User eingeloggt solange er aktiv ist, ohne langlaufendes Token."""
+    async def dispatch(self, request: Request, call_next):
+        response = await call_next(request)
+        new_token = getattr(request.state, "refresh_token", None)
+        if new_token:
+            from auth import JWT_EXPIRY as _JWT_EXPIRY
+            response.set_cookie(
+                key="by_token",
+                value=new_token,
+                httponly=True,
+                secure=True,
+                samesite="lax",
+                max_age=_JWT_EXPIRY * 24 * 3600,
+            )
+        return response
+
+app.add_middleware(_SlidingTokenRefreshMiddleware)
+
+
 # Globales File-Upload-Limit (20 MB)
 _MAX_UPLOAD_BYTES = 20 * 1024 * 1024

@ -410,7 +432,26 @@ async def serve_media(path: str, request: _Request):
        raise _HE(404, "Nicht gefunden.")
    return _media_response(filepath)

-APP_VER = "1094"  # muss mit APP_VER in app.js übereinstimmen
+# APP_VER wird zentral aus der VERSION-Datei im Projekt-Root gelesen.
+# Bumpe ausschliesslich via `make bump` — bumpt VERSION + sw.js + app.js + index.html atomar.
+def _read_app_ver() -> str:
+    from pathlib import Path
+    candidates = [
+        Path(__file__).resolve().parent.parent / "VERSION",  # Projekt-Root (lokal/dev)
+        Path("/app/VERSION"),                                # Container-Layout
+        Path("/data/VERSION"),                               # falls als Volume gemountet
+    ]
+    for p in candidates:
+        try:
+            if p.is_file():
+                txt = p.read_text(encoding="utf-8").strip()
+                if txt:
+                    return txt
+        except Exception:
+            pass
+    return "0"
+
+APP_VER = _read_app_ver()  # muss mit APP_VER in app.js übereinstimmen (siehe VERSION + `make bump`)

@app.get("/.well-known/assetlinks.json")
 async def assetlinks():