innovedus_cms/docs/newsletter_integration_memo.md

電子報介接備忘錄（租戶端 / Wagtail）

最後更新：2026-02-18

1. 目標與前提

本備忘錄用於整理租戶端（Wagtail）接下來的實作方向，重點是先完成可運行流程，再逐步補完細節。

2. 已確認決策（本次會議結論）

1. Member Center 雖為共用平台，但目前只有一個租戶。
2. 現階段「發確認信」與「訂閱/退訂頁面」先做在 Wagtail。
3. Wagtail 與 Member Center 的溝通以 API 為主。
4. SMTP relay 僅負責寄出一次，重送、token 安全、簽章等由其他系統或工具負責，不屬 Wagtail 責任。
5. 工作大項與順序固定為：
   1. 準備工作（電子報系統設定）
   2. 訂閱流程
   3. 退訂流程
   4. 電子報 app
   5. 發信流程（排程）

3. 工作大項與執行順序（含範圍）

3.1 準備工作（電子報系統設定，第一優先）

範圍：

• 建立 Member Center 連線設定（base URL、tenant_id、list_id、API timeout 等）。
• 建立 Send Engine 連線設定（base URL、OAuth scope、API timeout 等）。
• 建立一般發信設定（SMTP relay、寄件者名稱/信箱、reply-to、預設編碼等）。
• 建立模板設定：
  • 訂閱確認信 template
  • 訂閱確認（成功）頁面 template
  • 取消訂閱頁面 template

重點：

• 設定集中管理，避免散落在程式碼或多處後台欄位。
• 區分「系統連線設定」與「內容模板設定」，便於權限與維運。

完成標準（DoD）：

• 可在單一設定入口完成上述設定並通過基本驗證。
• 模板可被後續訂閱/退訂流程直接引用。

3.2 訂閱流程（第二優先）

範圍：

• 在站台頁面區塊（暫定 Footer）提供 email 訂閱入口。
• 後端接收 email，呼叫 Member Center 訂閱 API。
• 由 Wagtail 送出訂閱確認信（透過 SMTP relay）。
• 使用者點信內連結回到 Wagtail 確認頁。
• 確認頁自動呼叫 Member Center 確認 API。

重點：

• 流程中 token 需一路帶入與驗證。
• 確認信內容採 HTML（可附純文字 fallback）。

完成標準（DoD）：

• 可從站台成功發起訂閱。
• 可收到確認信並完成確認。
• 確認成功/失敗頁有明確訊息與追蹤記錄。

3.3 退訂流程（第三優先）

範圍：

• 電子報底部提供退訂連結，導向 Wagtail 退訂頁。
• 進入退訂頁時，先向 Member Center 申請退訂 token。
• 使用者按確認退訂後，呼叫 Member Center 退訂 API 完成流程。

重點：

• token 不做長期保存。
• 頁面需可處理 token 失效/不存在等錯誤狀態。

完成標準（DoD）：

• 使用者能從信件連結完成退訂。
• 退訂結果頁可正確呈現成功/失敗狀態。

3.4 電子報 app（第四優先）

範圍：

• 在 Wagtail 後台提供電子報內容管理能力。
• 提供 HTML 編輯器建立/編修內容。
• 支援可替換參數（例如 token、email）。

重點：

• 編輯器中的連結參數以佔位符表示，發送前由 backend 替換。
• 若有 Member Center API 相關連結需在內容中可配置，也採相同參數機制。

完成標準（DoD）：

• 編輯器可存草稿與更新內容。
• 內容中參數可在送出前正確替換。

3.5 發信流程（排程，第五優先）

範圍：

• 可建立發送任務與排程時間。
• 排程前可持續編輯內容與調整時間。
• 到時觸發時：先取 Member Center auth，再將內容包固定 header/footer，送到 Send Engine。

重點：

• 「內容定稿」與「實際送出」拆開。
• 發送前的模板組裝由 Wagtail backend 負責。

完成標準（DoD）：

• 排程到點可成功建立 Send Engine send job。
• 失敗可記錄原因並可人工重試。

4. 參數替換規則（先行約定）

建議佔位符格式（待實作時可再定版）：

• {{token}}
• {{email}}
• {{list_id}}
• {{tenant_id}}
• {{confirm_url}}
• {{unsubscribe_url}}

替換時機：

• 發信前 backend 最後一步統一替換。

注意事項：

• URL 參數需做 URL encode。
• 缺少必要參數時，中止發送並記錄可追蹤錯誤。

5. URL 與系統歸屬標註規範（文件撰寫規則）

後續文件凡提到網址，必須明確標註「是哪個系統」：

1. Wagtail（租戶站台）網址

• 例：https://{tenant-site}/newsletter/confirm?token=...
• 用途：使用者互動頁、站台前台/後台頁面。

2. Member Center API 網址

• 例：https://{member-center}/newsletter/subscribe
• 用途：訂閱、確認、退訂 token、退訂等 API。

3. Send Engine API 網址

• 例：https://{send-engine}/api/send-jobs
• 用途：建立/查詢/取消發信任務。

4. SMTP Relay 連線端點

• 用途：Wagtail 寄送確認信。
• 備註：僅作為寄送通道，不承擔重送與安全機制。

6. 非 Wagtail 責任邊界（本階段）

以下不納入目前 Wagtail 工作範圍：

• SMTP 後續重送策略。
• token 簽章與高階安全策略。
• 跨系統風控與防濫用機制。

7. 下一步（實作啟動清單）

1. 先完成電子報系統設定（Member Center / Send Engine / SMTP / 模板）。
2. 再完成訂閱流程 API 串接與確認頁。
3. 再完成退訂頁與退訂 API 串接。
4. 建立電子報 app 與 HTML 編輯器資料模型。
5. 最後接排程任務與 Send Engine 發信。

8. Member Center API 實際規格（以 member_center 程式碼 / OpenAPI 為準）

資料來源（2026-02-17 比對）：

• ../member_center/src/MemberCenter.Api/Controllers/NewsletterController.cs
• ../member_center/docs/openapi.yaml

8.1 Base URL 與路徑

• OpenAPI servers.url 為 /api，部署時實際呼叫通常為：
  • https://{member-center}/api/newsletter/...
• 若部署已在 gateway 做 path rewrite，也可為：
  • https://{member-center}/newsletter/...
• 租戶端必須以實際部署路徑設定 member_center_base_url。

8.2 Endpoint / Method / Request

1. 訂閱

• POST /newsletter/subscribe
• JSON body（必要）：
  • list_id（Guid）
  • email（string）
• JSON body（可選）：
  • preferences（object）
  • source（string）
• 回傳包含 confirm_token

2. 訂閱確認（雙重驗證）

• GET /newsletter/confirm?token=...
• 注意：confirm 是 GET，不是 POST

3. 單一名單退訂

• POST /newsletter/unsubscribe
• JSON body（必要）：
  • token（string）

4. 申請退訂 token

• POST /newsletter/unsubscribe-token
• JSON body（必要）：
  • list_id（Guid）
  • email（string）
• 回傳：
  • unsubscribe_token（string）

8.3 與租戶端目前實作對齊結果

• subscribe：已使用 POST。
• confirm：已改為 GET + query token（修正 HTTP 405 問題）。
• unsubscribe：已使用 POST，且 body 僅送 token。
• unsubscribe-token：已使用 POST，且 body 送 list_id + email。

9. List-Unsubscribe One-Click 規範（發信流程階段導入）

說明：

• 本節為「電子報 app + 排程發信」階段的目標規範。
• 已完成的訂閱/退訂流程維持現況，不回頭重做；待發信流程上線時再整合 one-click。

9.1 目標

• 提供電子報編輯與排程。
• 產生 List-Unsubscribe one-click header。
• 呼叫發信代理 API。
• 提供 unsubscribe endpoint（one-click + 人類點擊頁）。

9.2 Unsubscribe Token 設計

建議使用 JWT 或 HMAC token。

Token 內容建議：

• subscriber_id
• list_id
• site_id
• exp
• nonce（optional）

安全要求：

• 不需登入即可退訂。
• 必須可 idempotent。
• Token 需有過期時間。
• Token 必須簽章驗證。

9.3 Unsubscribe Endpoint

1. One-click endpoint

• POST /u/unsubscribe
• Request：token
• 流程：
  • 驗證 token
  • 呼叫會員平台 API
  • 回傳 200
• 不可：
  • 要求登入
  • 要求二次確認

2. 人類點擊頁面

• GET /u/unsubscribe?token=xxx
• 流程：
  • 驗證 token
  • 顯示退訂成功頁面

9.4 發信 Header 規則

Newsletter 必須包含：

• List-Unsubscribe: <https://domain/u/unsubscribe?token=xxx>
• List-Unsubscribe-Post: List-Unsubscribe=One-Click

註記：

• Transactional email 不應包含 List-Unsubscribe。

9.5 與會員平台整合（one-click 目標介面）

呼叫 API：

• POST /api/subscriptions/unsubscribe

Request：

• subscriber_id
• list_id
• source: "one_click"
• campaign_id

回傳：

• success
• already_unsubscribed

9.6 測試案例

1. Token 驗證

• 正常 token -> 成功退訂
• 過期 token -> 400 或 410
• 已退訂 -> 200
• 簽章錯誤 -> 400

2. Header 驗證

• Newsletter 發送時必定包含 List-Unsubscribe
• Transactional email 不包含 List-Unsubscribe
• Header 格式正確

9.7 安全與 UX

安全：

• Unsubscribe endpoint 不受 CSRF 限制
• Token 驗證必須 server-side
• 記錄 audit log
• 不顯示 subscriber_id 在 URL 明文

UX：

• 退訂成功頁面簡潔
• 提供重新訂閱入口
• 不強迫填問卷

9.8 目前實作狀態（Wagtail）

• 已提供 one-click endpoint：
  • POST /u/unsubscribe（token 可由 query/body 提供）
  • GET /u/unsubscribe?token=...（人類點擊頁）
• 已實作 token 驗證（HMAC + exp）與 idempotent 行為（重複退訂維持 200）。
• 已實作 server-side audit log（OneClickUnsubscribeAudit）。
• 已提供 one-click URL + Header 產生工具：
  • List-Unsubscribe
  • List-Unsubscribe-Post

9.9 Send Engine 發送介接（依 ../mass_mail_engine/docs/openapi.yaml 對齊）

已對齊的 API：

1. 建立 send job

• POST /api/send-jobs
• request 以 CreateSendJobRequest 為主（list_id、subject、body_html/body_text/template）
• response 讀取：
  • send_job_id
  • status

2. 查詢 send job

• GET /api/send-jobs/{id}
• 若建立後狀態非最終態，持續輪詢直到最終態或超過輪詢上限。

狀態對應（Wagtail campaign）：

• Send Engine completed -> campaign sent
• Send Engine failed / cancelled -> campaign failed
• 建立失敗 / 輪詢逾時 / 輪詢錯誤 -> campaign failed

Send Engine 最終態（terminal）：

• completed
• failed
• cancelled

備註：

• 目前 dispatch 紀錄改為「每次送 job / 重試一次一筆」，不再是逐收件者一筆。
• 若要做投遞到單一收件者的最終監控（delivery/bounce/complaint），仍建議接 Send Engine webhook 或事件回寫機制處理。

9.10 One-Click Token 模式（目前採用）

目前採用：MemberCenter token relay

流程：

1. CMS 發送 payload 時同時提供：
   • template.list_unsubscribe_url_template（給 Send Engine 產生 List-Unsubscribe header） 信內可點連結由 body_html/body_text 直接使用 {{unsubscribe_token}} 組 URL。
     例如：https://{cms}/u/unsubscribe?token={{unsubscribe_token}}
2. Send Engine 於發送時向 Member Center 取得每位收件者的退訂 token，並替換 {{unsubscribe_token}}。
3. 使用者點擊信內退訂（或 mailbox one-click）後，進入 CMS /u/unsubscribe。
4. CMS 不自行驗簽 token，直接以 S2S 呼叫 Member Center unsubscribe(token) 完成退訂。

備註：

• 舊的 CMS 自簽 HMAC one-click token 保留工具函式作為備援，但主流程已切到 relay 模式。

10. 下一階段演進備忘（先記錄，待試用回饋後再排）

說明：

• 本節為「規劃中」項目，先記錄方向，不立即實作。
• 優先等待：電子報排版產出 + 實際 user 試用回饋。

10.1 編輯器能力演進

現況：

• 目前使用 Wagtail Draftail 作為 HTML 編輯器，已可插入圖片（圖庫選擇 / 上傳）。

待回饋後評估：

• 若編輯需求提升（table、欄位版型、拖拉區塊、進階 email 元件），再評估導入更完整的 newsletter editor。
• 原則：先確認真實編輯痛點，再導入新編輯器，避免過早複雜化。

10.2 電子報樣式（CSS）策略

建議方向：

• 採「固定樣式基底 + 內容編輯」模式。
• CSS 不建議只放 <head><style>，實務上需考慮 email client 相容性，通常會在發送前做 CSS inlining（將重要樣式轉為 inline style）。
• 可保留少量 head style（例如 media query），但核心排版建議以 inline 為主。

10.3 外框模板（Header / Footer / Shell）管理

目標：

• 提供可編輯的 newsletter shell（例如 layout.html），內含 head、header、footer 與內容插槽。

建議實作概念：

• 內容編輯區僅負責 body 內文。
• 發送時由 backend 組裝：shell + content + one-click headers/links。
• 預覽也走同一組裝流程，避免「預覽長得跟實際寄出不一致」。

10.4 退訂連結與個人化參數責任分工

共識方向：

• 退訂連結需與收件者身分綁定（每位收件者唯一 token / URL）。
• 內容模板需預留替換位（例如 {{unsubscribe_url}}）。

責任分工建議：

• CMS：產內容、產 placeholder、組裝信件與 one-click header。
• Send Engine：執行發送、接收投遞回報（bounce/complaint 等）。
• SES（或下游 provider）：最終投遞與回執來源。

10.5 文章區塊直接引入

需求方向：

• 支援從既有文章中挑選區塊或全文片段匯入電子報。

建議：

• 第一階段可先做「選文章 -> 帶入標題/摘要/首圖/連結」。
• 第二階段再考慮「可編輯快照」或「保持動態同步」策略。

10.6 預覽能力

需求方向：

• 內文編輯預覽。
• 樣式（shell）編輯預覽。
• 能注入假資料（假收件者、假 token、假文章）看最終結果。

建議：

• 做「最終寄出 HTML 預覽」功能，預覽管線與正式發送使用同一套 renderer。
• 後續可加多裝置寬度與常見 email client 快速檢視模式（若使用者回饋有需要）。