Review Backend
Statut
Document de review qualité — version initiale.
Périmètre
Fichiers principaux :
docs/07-backendapi/app/Modulesapi/routesapi/database/migrations
Vérification factuelle
- Les modules listés correspondent aux modules Laravel visibles.
- Laravel, Sanctum, Stripe PHP et Firebase JWT sont documentés correctement.
- Les routes
/api/v1sont cohérentes. - Le middleware
identify.appet ses sources sont exacts. - Les providers modulaires sont bien mentionnés.
Vérification stratégique
- Le backend reste la source des règles métier.
- Les frontends ne sont pas encouragés à dupliquer la logique.
- Les domaines métier sont stables et compréhensibles.
- Les apps connectées consomment l'API via contrats contrôlés.
Vérification technique
- Les conventions Controller / Request / Service / DTO / Policy sont cohérentes.
- Les jobs et queues sont correctement cadrés.
- Auth, autorisation, RBAC et rate limiting sont traités comme piliers.
- Les tests backend sont abordés sans surpromesse.
- Les actions/events sont marqués cible si non généralisés.
Vérification business
- Les modules monétisation, boosts, abonnements et cotisations sont cohérents avec business.
- Stripe Connect et webhooks ne sont pas surdécrits au-delà du visible.
- Les coûts d'exploitation backend sont compatibles avec stratégie finance.
Vérification IA
- L'IA passe par services/gateway cible.
- Les jobs IA sont prévus pour longues tâches.
- Les validations humaines restent côté métier.
Vérification juridique / risques
- Les actions sensibles sont à auditer.
- Les secrets et champs internes sont masqués.
- Les politiques d'autorisation couvrent les périmètres.
Questions ouvertes
- Convention officielle DTO vs Resources ?
- Quelle couverture de tests cible ?
- Quelle stratégie pour APIs inter-apps ?
- Comment formaliser audit logs backend ?
Dette technique visible
- Rationalisation Supabase Admin et accès historiques.
- Clarifier migrations de test vs production.
- Uniformiser services lecture/écriture par module.