Checklist audit routes API
Objectif
Fournir une checklist par domaine pour vérifier que la documentation API correspond bien aux routes Laravel réelles.
Pré-requis
- Générer une sortie
php artisan route:list. - Ne pas considérer une route comme confirmée si elle n’apparaît pas dans le code ou dans
route:list. - Classer explicitement les routes absentes en
cible,proposée,obsolèteouà confirmer.
Auth
- Vérifier
/api/v1/auth/exchange. - Vérifier
/api/v1/auth/me. - Vérifier
/api/v1/auth/logout. - Confirmer les middlewares exacts.
- Confirmer le provider d’identité et le payload
exchange.
Users
- Vérifier les routes
/api/v1/admin/users. - Vérifier attribution et retrait de rôles.
- Confirmer
ensure.admin. - Vérifier audit des changements de rôles.
- Confirmer les champs utilisateur exposés.
Actors
- Vérifier lecture
/api/v1/acteurs. - Vérifier détails, tags, documents et XP.
- Vérifier routes écriture acteur.
- Vérifier routes admin acteur.
- Confirmer les droits via acteur /
actor_users.
Publications
- Vérifier
/api/v1/publications/types. - Vérifier listes et détails publications.
- Vérifier routes par acteur et commune.
- Vérifier création, mise à jour, suppression.
- Vérifier modération et signalement.
Media
- Vérifier documents acteur.
- Vérifier médias PlayLoop.
- Confirmer s’il existe une API média générique.
- Vérifier validations upload.
- Vérifier suppression et audit.
Claims
- Vérifier
/api/v1/claims. - Vérifier
/api/v1/admin/claims. - Confirmer si la soumission doit rester publique.
- Vérifier anti-abus et rate limiting.
- Vérifier lien vers attribution de droits acteur.
Notifications
- Vérifier s’il existe une API notifications dédiée.
- Vérifier les routes alertes mairie liées.
- Classer les endpoints notifications proposés comme cible si absents.
- Vérifier préférences, consentements et anti-spam.
- Vérifier absence de données sensibles dans les push.
Subscriptions
- Vérifier
/api/v1/plans. - Vérifier subscription acteur.
- Vérifier Stripe account, subscribe, unsubscribe.
- Vérifier
/api/v1/admin/subscriptions. - Vérifier idempotence et audit.
Boosts
- Vérifier
/api/v1/boosts/catalog. - Vérifier liste boosts acteur.
- Vérifier achat boost.
- Vérifier expiration et anti-spam.
- Vérifier liens éventuels avec crédits IA.
Communes
- Vérifier
/api/v1/communes. - Vérifier détail commune par slug.
- Vérifier élus, collectes, infos.
- Vérifier écriture commune côté admin.
- Confirmer pagination et filtres territoriaux.
Mairie
- Vérifier alertes publiques par commune.
- Vérifier services publics par commune.
- Vérifier création/modification/désactivation alertes.
- Vérifier gestion services.
- Vérifier publications mairie.
- Confirmer
mairie.access. - Vérifier qu’aucune route mairie ne donne un pouvoir de censure globale.
AssoSuite
- Vérifier invitation accept.
- Vérifier membres, resign, invite, suspend.
- Vérifier cotisation plans et cotisations.
- Vérifier publications AssoSuite.
- Vérifier projets AssoSuite.
- Confirmer
asso.accesset contrôles admin internes.
PlayLoop
- Vérifier routes device playlist et ping.
- Vérifier middleware
device.token. - Vérifier admin devices.
- Vérifier playlists et items.
- Vérifier médias PlayLoop.
- Vérifier campagnes.
- Confirmer header token device exact.
Settings
- Vérifier
feature-tabs. - Vérifier feature tabs acteur.
- Vérifier lecture settings.
- Vérifier écriture admin settings.
- Vérifier suppression settings.
- Confirmer audit et absence de secrets exposés.
Analytics
- Vérifier analytics global.
- Vérifier analytics acteur.
- Vérifier push usage acteur.
- Vérifier analytics commune.
- Confirmer paramètre
mois=YYYY-MM. - Vérifier que les données restent agrégées et non intrusives.
Chat
- Vérifier messages par room.
- Vérifier envoi message.
- Vérifier read receipts.
- Vérifier édition message.
- Vérifier suppression message.
- Confirmer modèle room/participants et politique de rétention.
Admin
- Vérifier toutes les routes
/api/v1/admin/*. - Confirmer
auth:sanctum+ensure.admin. - Vérifier qu’aucune clé service n’est utilisée côté client.
- Vérifier audit des mutations admin.
- Confirmer distinction admin global / opérateur support si nécessaire.
Webhooks
- Vérifier
/api/v1/webhooks/stripe. - Confirmer absence de
auth:sanctum. - Confirmer validation signature Stripe.
- Vérifier idempotence.
- Vérifier logs et retries.
IA cible
- Vérifier qu’aucune route IA confirmée n’est documentée à tort.
- Classer AI Gateway comme cible si routes absentes.
- Vérifier quotas/crédits IA comme cible si routes absentes.
- Vérifier qu’aucun accès direct base n’est prévu.
- Vérifier que les actions sensibles restent validées par un humain.