Aller au contenu principal

Checklist audit routes API

Objectif

Fournir une checklist par domaine pour vérifier que la documentation API correspond bien aux routes Laravel réelles.

Pré-requis

  • Générer une sortie php artisan route:list.
  • Ne pas considérer une route comme confirmée si elle n’apparaît pas dans le code ou dans route:list.
  • Classer explicitement les routes absentes en cible, proposée, obsolète ou à confirmer.

Auth

  • Vérifier /api/v1/auth/exchange.
  • Vérifier /api/v1/auth/me.
  • Vérifier /api/v1/auth/logout.
  • Confirmer les middlewares exacts.
  • Confirmer le provider d’identité et le payload exchange.

Users

  • Vérifier les routes /api/v1/admin/users.
  • Vérifier attribution et retrait de rôles.
  • Confirmer ensure.admin.
  • Vérifier audit des changements de rôles.
  • Confirmer les champs utilisateur exposés.

Actors

  • Vérifier lecture /api/v1/acteurs.
  • Vérifier détails, tags, documents et XP.
  • Vérifier routes écriture acteur.
  • Vérifier routes admin acteur.
  • Confirmer les droits via acteur / actor_users.

Publications

  • Vérifier /api/v1/publications/types.
  • Vérifier listes et détails publications.
  • Vérifier routes par acteur et commune.
  • Vérifier création, mise à jour, suppression.
  • Vérifier modération et signalement.

Media

  • Vérifier documents acteur.
  • Vérifier médias PlayLoop.
  • Confirmer s’il existe une API média générique.
  • Vérifier validations upload.
  • Vérifier suppression et audit.

Claims

  • Vérifier /api/v1/claims.
  • Vérifier /api/v1/admin/claims.
  • Confirmer si la soumission doit rester publique.
  • Vérifier anti-abus et rate limiting.
  • Vérifier lien vers attribution de droits acteur.

Notifications

  • Vérifier s’il existe une API notifications dédiée.
  • Vérifier les routes alertes mairie liées.
  • Classer les endpoints notifications proposés comme cible si absents.
  • Vérifier préférences, consentements et anti-spam.
  • Vérifier absence de données sensibles dans les push.

Subscriptions

  • Vérifier /api/v1/plans.
  • Vérifier subscription acteur.
  • Vérifier Stripe account, subscribe, unsubscribe.
  • Vérifier /api/v1/admin/subscriptions.
  • Vérifier idempotence et audit.

Boosts

  • Vérifier /api/v1/boosts/catalog.
  • Vérifier liste boosts acteur.
  • Vérifier achat boost.
  • Vérifier expiration et anti-spam.
  • Vérifier liens éventuels avec crédits IA.

Communes

  • Vérifier /api/v1/communes.
  • Vérifier détail commune par slug.
  • Vérifier élus, collectes, infos.
  • Vérifier écriture commune côté admin.
  • Confirmer pagination et filtres territoriaux.

Mairie

  • Vérifier alertes publiques par commune.
  • Vérifier services publics par commune.
  • Vérifier création/modification/désactivation alertes.
  • Vérifier gestion services.
  • Vérifier publications mairie.
  • Confirmer mairie.access.
  • Vérifier qu’aucune route mairie ne donne un pouvoir de censure globale.

AssoSuite

  • Vérifier invitation accept.
  • Vérifier membres, resign, invite, suspend.
  • Vérifier cotisation plans et cotisations.
  • Vérifier publications AssoSuite.
  • Vérifier projets AssoSuite.
  • Confirmer asso.access et contrôles admin internes.

PlayLoop

  • Vérifier routes device playlist et ping.
  • Vérifier middleware device.token.
  • Vérifier admin devices.
  • Vérifier playlists et items.
  • Vérifier médias PlayLoop.
  • Vérifier campagnes.
  • Confirmer header token device exact.

Settings

  • Vérifier feature-tabs.
  • Vérifier feature tabs acteur.
  • Vérifier lecture settings.
  • Vérifier écriture admin settings.
  • Vérifier suppression settings.
  • Confirmer audit et absence de secrets exposés.

Analytics

  • Vérifier analytics global.
  • Vérifier analytics acteur.
  • Vérifier push usage acteur.
  • Vérifier analytics commune.
  • Confirmer paramètre mois=YYYY-MM.
  • Vérifier que les données restent agrégées et non intrusives.

Chat

  • Vérifier messages par room.
  • Vérifier envoi message.
  • Vérifier read receipts.
  • Vérifier édition message.
  • Vérifier suppression message.
  • Confirmer modèle room/participants et politique de rétention.

Admin

  • Vérifier toutes les routes /api/v1/admin/*.
  • Confirmer auth:sanctum + ensure.admin.
  • Vérifier qu’aucune clé service n’est utilisée côté client.
  • Vérifier audit des mutations admin.
  • Confirmer distinction admin global / opérateur support si nécessaire.

Webhooks

  • Vérifier /api/v1/webhooks/stripe.
  • Confirmer absence de auth:sanctum.
  • Confirmer validation signature Stripe.
  • Vérifier idempotence.
  • Vérifier logs et retries.

IA cible

  • Vérifier qu’aucune route IA confirmée n’est documentée à tort.
  • Classer AI Gateway comme cible si routes absentes.
  • Vérifier quotas/crédits IA comme cible si routes absentes.
  • Vérifier qu’aucun accès direct base n’est prévu.
  • Vérifier que les actions sensibles restent validées par un humain.