docs: add CLAUDE.md with project conventions and dev workflow

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-02-23 21:20:44 +01:00
parent 0e8d5aef85
commit 24d0d0bf53
1 changed files with 86 additions and 0 deletions
--- a/CLAUDE.md
+++ b/CLAUDE.md
@@ -0,0 +1,86 @@
+# tOS – Claude Code Guide
+
+## Projekt
+Enterprise Web Operating System: Next.js 14 + NestJS 10 + Prisma + PostgreSQL 16 + Keycloak 24.
+pnpm-Monorepo mit Turbo (`apps/web`, `apps/api`, `packages/shared`).
+
+## Dev-Befehle
+
+```bash
+# Infrastruktur starten (PostgreSQL, Redis, Keycloak)
+cd docker && docker compose up -d
+
+# Apps starten
+pnpm dev          # alle Apps
+pnpm dev:api      # nur Backend
+pnpm dev:web      # nur Frontend
+
+# Datenbank
+pnpm db:push      # Schema anwenden (dev)
+pnpm db:seed      # Default-Daten (Rollen, SystemSettings)
+
+# TypeScript-Check
+pnpm --filter @tos/api exec tsc --noEmit
+pnpm --filter @tos/web exec tsc --noEmit
+```
+
+## Ports
+| Service    | Port |
+|------------|------|
+| Frontend   | 3000 |
+| Backend    | 3001 |
+| Keycloak   | 8080 |
+| PostgreSQL | 5432 |
+| Redis      | 6379 |
+
+## Datenbanken
+- `tos_db` – Keycloak (wird automatisch erstellt)
+- `tos_app` – Anwendung (wird via `docker/postgres/init.sql` automatisch erstellt)
+- Beide in derselben PostgreSQL-Instanz
+
+## Keycloak (Dev)
+- Admin-UI: http://localhost:8080 → admin / admin123
+- Realm: `tOS`
+- Frontend-Client: `tos-nextauth` (NextAuth)
+- Backend-Client: `tos-backend` (NestJS)
+
+## Architektur
+
+**Auth:**
+- Keycloak SSO → NextAuth (Frontend-Session) + passport-jwt RS256 via JWKS (Backend)
+- JWT wird über Keycloak JWKS-Endpoint validiert – KEIN symmetrischer JWT_SECRET
+- Global Guard Chain: JWT → Roles → Permissions, `@Public()` für opt-out
+
+**API-Kommunikation:**
+- Backend wickelt alle Responses in `{success, data, timestamp}` (TransformInterceptor)
+- Frontend-`api.ts` unwrappt diesen Envelope automatisch
+- `NEXT_PUBLIC_API_URL` enthält bereits `/api/v1` (z.B. `http://localhost:3001/api/v1`)
+
+**Konfiguration:**
+- Integration-Credentials und SystemSettings liegen in der DB, nicht in `.env`
+- `.env` enthält nur Bootstrap-Variablen (DB-URL, Secrets, Keycloak-Koordinaten)
+
+## Code-Konventionen
+- **Route-Pattern:** `page.tsx` (Server Component) importiert `*-content.tsx` (Client Component)
+- **Routen:** `[locale]/(auth)/...` = geschützt, `[locale]/(setup)/...` = public, `/login` = public
+- **State:** Zustand für UI-State, TanStack Query für Server-State
+- **i18n:** ASCII-Umlaute in JSON-Keys (`oe`, `ae`, `ue` statt `ö`, `ä`, `ü`)
+- **Installer-API-Calls:** direktes `fetch()` mit `x-setup-token` Header (kein Bearer-Token)
+
+## Deployment
+
+```bash
+# Lokaler Full-Stack-Test (identisch zu Prod, vor Commit)
+cd docker && docker compose -f docker-compose.local.yml up --build
+# → http://localhost:3000/setup?token=local-setup-token-for-testing
+
+# Produktions-Installation (interaktiv)
+./install.sh
+# → fragt Domain + SSL-Modus, generiert Secrets, startet docker-compose.prod.yml
+# → SSL via Let's Encrypt (Caddy, --profile ssl) oder externer Reverse Proxy
+```
+
+## Bekannte Issues / TODOs
+- HR-Hooks nutzen noch Mock-Daten (nicht an Backend angebunden)
+- Morning Meeting Endpoints nutzen `DASHBOARD_VIEW` Permission (Security-Gap)
+- `apps/api/integrations.backup/` – deaktivierte Integrations-Module (via .gitignore ignoriert)