gwoe-antragspruefer

tobias/gwoe-antragspruefer

Fork 0

Commit Graph

Author	SHA1	Message	Date
Dotty Dotter	d24949740b	#99 Queue: 3 parallele Worker + Job-Visualisierung + Admin-Schutz Queue (queue.py): - QUEUE_CONCURRENCY ENV (default 3) statt hartcodiert 1 - N Worker-Coroutines via asyncio tasks (nicht Semaphore — jeder Worker pickt eigenständig von der Queue) - Per-Job-Tracking: job_id → {status, drucksache, duration, error} - get_queue_status() liefert jobs-Array für UI-Tabelle Visualisierung (index.html): - Fortschrittsbalken (X/Y fertig, grün) - Job-Tabelle: Drucksache + Status-Icon + Dauer - Fertige Jobs klickbar → Detail-Ansicht - Auto-Refresh alle 3s Admin-Schutz (auth.py + main.py): - Neue require_admin Dependency: prüft Keycloak-Rolle "admin" oder "gwoe-admin". Im Dev-Modus durchlassen. - Batch-Analyse, Programme-Index, Assessment-Delete: require_admin - Einzelanalyse, Bookmarks, Kommentare: bleiben require_auth - Keycloak: Rolle "admin" erstellt + User tobias zugewiesen Tests: 206 passed. Refs: #99	2026-04-10 23:15:42 +02:00
Dotty Dotter	49c1b92753	Fix: JWT aud=account bei Keycloak Public Clients — prüfe azp statt aud	2026-04-10 21:32:08 +02:00
Dotty Dotter	7159240f49	#43 Keycloak SSO: JWT-Middleware + UI-Guiding Auth-Schicht vorbereitet — Dev-Modus (KEYCLOAK_URL leer) lässt alles durch, Prod-Modus (ENV gesetzt) validiert JWT gegen Keycloak-JWKS. Backend (app/auth.py): - JWKS-Cache mit 1h TTL (async httpx fetch) - get_current_user: Optional, gibt User-Dict oder None - require_auth: Pflicht, gibt User-Dict oder HTTP 401 - keycloak_login_url: Baut die OIDC-Login-URL - _is_auth_enabled: prüft ob alle 3 ENV-Vars gesetzt sind Abgesicherte POST-Endpoints: - POST /analyze → Depends(require_auth) - POST /api/analyze-drucksache → Depends(require_auth) - POST /api/programme/index → Depends(require_auth) Neue Endpoints: - GET /api/auth/me → {authenticated, sub, email, name, roles} oder {authenticated: false} - GET /api/auth/login-url → {enabled, url} für Keycloak-Redirect Frontend (index.html): - initAuth() beim DOMContentLoaded → prüft /api/auth/me - "Anmelden"-Button im Header (neben "Quellen") - "Jetzt prüfen"-Button: disabled + Tooltip "Nur nach Anmeldung verfügbar" wenn nicht eingeloggt; aktiv wenn eingeloggt - currentUser-State steuert Button-Zustände Dev-Modus: Solange KEYCLOAK_URL nicht gesetzt ist (lokale Dev, aktueller Prod-Stand), sind alle Endpoints offen wie bisher. Kein Breaking Change. Dependency: python-jose[cryptography]>=3.3.0 in requirements.txt. Tests: 194/194 grün (auth.py hat keine Seiteneffekte im Import). Refs: #43	2026-04-10 14:28:57 +02:00

Author

SHA1

Message

Date

Dotty Dotter

d24949740b

#99 Queue: 3 parallele Worker + Job-Visualisierung + Admin-Schutz

Queue (queue.py):
- QUEUE_CONCURRENCY ENV (default 3) statt hartcodiert 1
- N Worker-Coroutines via asyncio tasks (nicht Semaphore — jeder
  Worker pickt eigenständig von der Queue)
- Per-Job-Tracking: job_id → {status, drucksache, duration, error}
- get_queue_status() liefert jobs-Array für UI-Tabelle

Visualisierung (index.html):
- Fortschrittsbalken (X/Y fertig, grün)
- Job-Tabelle: Drucksache + Status-Icon + Dauer
- Fertige Jobs klickbar → Detail-Ansicht
- Auto-Refresh alle 3s

Admin-Schutz (auth.py + main.py):
- Neue require_admin Dependency: prüft Keycloak-Rolle "admin" oder
  "gwoe-admin". Im Dev-Modus durchlassen.
- Batch-Analyse, Programme-Index, Assessment-Delete: require_admin
- Einzelanalyse, Bookmarks, Kommentare: bleiben require_auth
- Keycloak: Rolle "admin" erstellt + User tobias zugewiesen

Tests: 206 passed.

Refs: #99

2026-04-10 23:15:42 +02:00

Dotty Dotter

49c1b92753

Fix: JWT aud=account bei Keycloak Public Clients — prüfe azp statt aud

2026-04-10 21:32:08 +02:00

Dotty Dotter

7159240f49

#43 Keycloak SSO: JWT-Middleware + UI-Guiding

Auth-Schicht vorbereitet — Dev-Modus (KEYCLOAK_URL leer) lässt alles
durch, Prod-Modus (ENV gesetzt) validiert JWT gegen Keycloak-JWKS.

Backend (app/auth.py):
- JWKS-Cache mit 1h TTL (async httpx fetch)
- get_current_user: Optional, gibt User-Dict oder None
- require_auth: Pflicht, gibt User-Dict oder HTTP 401
- keycloak_login_url: Baut die OIDC-Login-URL
- _is_auth_enabled: prüft ob alle 3 ENV-Vars gesetzt sind

Abgesicherte POST-Endpoints:
- POST /analyze → Depends(require_auth)
- POST /api/analyze-drucksache → Depends(require_auth)
- POST /api/programme/index → Depends(require_auth)

Neue Endpoints:
- GET /api/auth/me → {authenticated, sub, email, name, roles} oder {authenticated: false}
- GET /api/auth/login-url → {enabled, url} für Keycloak-Redirect

Frontend (index.html):
- initAuth() beim DOMContentLoaded → prüft /api/auth/me
- "Anmelden"-Button im Header (neben "Quellen")
- "Jetzt prüfen"-Button: disabled + Tooltip "Nur nach Anmeldung
  verfügbar" wenn nicht eingeloggt; aktiv wenn eingeloggt
- currentUser-State steuert Button-Zustände

Dev-Modus: Solange KEYCLOAK_URL nicht gesetzt ist (lokale Dev, aktueller
Prod-Stand), sind alle Endpoints offen wie bisher. Kein Breaking Change.

Dependency: python-jose[cryptography]>=3.3.0 in requirements.txt.

Tests: 194/194 grün (auth.py hat keine Seiteneffekte im Import).

Refs: #43

2026-04-10 14:28:57 +02:00

3 Commits