member_center/docs/OPENAPI.md

# OpenAPI 草案（完整）

已補上完整端點與資料結構，並提供 `docs/openapi.yaml` 作為可直接擴充的版本。
其中 `/webhooks/*` 為 Member Center 對外發送時遵循的整合契約（實際由 Send Engine 提供端點）。

## 版本
- OpenAPI: 3.1.0
- 檔案：`docs/openapi.yaml`

## 核心資源
- OAuth2/OIDC：授權、token、discovery、JWKS
- Auth：註冊、登入（password grant）、刷新、登出、忘記/重設密碼、Email 驗證
- User：個人資料
- Newsletter：訂閱/確認/退訂/偏好
- Admin：Tenants/Lists/OAuth Clients（MVP CRUD）

## Security Schemes
- OAuth2 (Authorization Code + PKCE、Client Credentials)
- Bearer JWT（API 使用）

## 補充說明
- `/oauth/token`、`/auth/login`、`/auth/refresh` 使用 `application/x-www-form-urlencoded`
- Access token 以 JWT（JWS）簽發，建議驗證 `iss` 與 `aud`
- `/auth/email/verify` 需要 `token` + `email`
- `/newsletter/subscribe` 會回傳 `confirm_token`
- `/newsletter/unsubscribe-token` 需要 `list_id + email` 才能申請 `unsubscribe_token`
- `/newsletter/one-click-unsubscribe-token` 提供 Send Engine 發信前取得 one-click 退訂 token（`tenant_id + list_id + subscriber_id`）
- `/newsletter/one-click-unsubscribe-tokens` 提供 Send Engine 批次取得 one-click 退訂 token（`tenant_id + list_id + subscriber_ids[]`）
- `/newsletter/preferences`（GET/POST）需要 `list_id + email`，避免跨租戶資料讀取/更新

## 通用欄位
- `occurred_at`：RFC3339（例：`2026-02-10T09:30:00Z`）
- `event_id`、`request_id`：UUID

## 通用錯誤格式
```json
{
  "error": "string_code",
  "message": "human readable message",
  "request_id": "uuid"
}
```

## 多租戶資料隔離原則
- 與訂閱者資料（preferences、unsubscribe token）相關的查詢與寫入，一律必須帶 `list_id + email` 做租戶邊界約束。
- 不提供僅靠 `email` 或單純 `subscription_id` 的公開查詢/操作端點。

## Webhook Auth（Member Center -> Send Engine）
- Header（對齊 Send Engine 規格）：
  - `X-Signature`
  - `X-Timestamp`
  - `X-Nonce`
  - `X-Client-Id`
- `X-Client-Id` 來源：
  - 由 Send Engine 的 `auth_clients.id`（UUID）提供
  - Member Center 以 DB 設定（tenant 設定欄位）保存每個租戶的對應值
  - 可由管理 UI（Tenant 編輯）或整合 API `POST /integrations/send-engine/webhook-clients/upsert` 更新
- 簽章建議：
  - `HMAC-SHA256(secret, "{raw_body}")`（對齊 Send Engine 驗證器）
- 驗證規則：
  - timestamp 在允許時間窗（例如 ±5 分鐘）
  - nonce 不可重複（防重放）
  - `X-Client-Id` 必須存在且 active，且 `auth_clients.tenant_id` 與 payload `tenant_id` 一致
  - 不使用 `X-Client-Id` fallback；缺少 tenant 對應 client 時應略過發送
  - 預設拒絕 `auth_clients.tenant_id = NULL` 的通用 client（除非 Send Engine 明確開啟）
  - signature 必須匹配

## OAuth Client 用途分離（強制）
- `usage=tenant_api`：
  - 供租戶站台拿 token 呼叫 Member Center / Send Engine API
  - scope 僅給業務所需（如 `newsletter:events.write`）
- `usage=send_api`：
  - 供租戶站台呼叫 Send Engine 發信流程
  - 內建 scope：`newsletter:send.write`、`newsletter:send.read`
- `usage=webhook_outbound`：
  - 供 Member Center 內部標記「對外 webhook 用」的租戶憑證用途
  - 不可用於租戶 API 呼叫
  - `X-Client-Id` 仍以 Send Engine `auth_clients.id` 為準
  - 需設定 `redirect_uris`（Authorization Code 流程）
- `usage=platform_service`：
  - 供平台級 S2S（例如 SES 聚合事件回寫）
  - 可不綁定 `tenant_id`，scope 使用 `newsletter:events.write.global`
- `tenant_api` / `send_api` / `platform_service` 建議（且實作要求）`client_type=confidential`
- `redirect_uris` 僅 `webhook_outbound` 需要；其他 usage 可為空
- 管理規則：
  - 每個 tenant 至少 2 組憑證（`tenant_api` / `webhook_outbound`）
  - 平台級流程另建 `platform_service` 憑證
  - secret 分開輪替，禁止共用

## 整合 API / Auth（狀態）
### API
- `GET /newsletter/subscriptions?list_id=...`：已實作（供發送引擎同步）
- `POST /webhooks/subscriptions`：已實作（Member Center 發送；Send Engine 接收）
- `POST /webhooks/lists/full-sync`：規格已定義（Member Center 發送；Send Engine 接收）
- `POST /subscriptions/disable`：已實作（Send Engine 回寫黑名單）
- `POST /integrations/send-engine/webhook-clients/upsert`：已實作（Send Engine 回填 tenant webhook client id）
- `POST /newsletter/one-click-unsubscribe-token`：已實作（Send Engine 發信前申請 one-click token）
- `POST /newsletter/one-click-unsubscribe-tokens`：已實作（Send Engine 批次申請 one-click token）

### Auth / Scope
- `tenant_api` / `send_api` / `webhook_outbound` 類型需綁定 `tenant_id`
- `platform_service` 可不綁定 `tenant_id`
- 新增 scope：
  - `newsletter:list.read`
  - `newsletter:send.write`
  - `newsletter:send.read`
  - `newsletter:events.read`
  - `newsletter:events.write`
  - `newsletter:events.write.global`
- 發送引擎僅能用上述 scope，禁止 admin 權限
- `POST /subscriptions/disable` 需 Bearer token 且包含下列其一：
  - `newsletter:events.write`（tenant-scoped）
  - `newsletter:events.write.global`（platform-scoped，SES 回寫用）
- 建議 Send Engine 使用 client credentials 取 token，不建議使用長效固定 token
- Send Engine 建議以 JWKS 驗簽 JWT（JWS），並驗證 `scope/tenant_id/exp`
  - `iss` 由 `Auth:Issuer` 設定（例：`http://localhost:7850/`）
  - `aud` 預設：
    - Send Engine 流程：`send_engine_api`（可用 `Auth:SendEngineAudience` 覆寫）
    - Member Center API 流程：`member_center_api`（可用 `Auth:MemberCenterAudience` 覆寫）

### 回寫原因碼（Send Engine -> Member Center）
- `hard_bounce`
- `soft_bounce_threshold`
- `complaint`
- `suppression`

處理規則：
- `hard_bounce` / `soft_bounce_threshold` / `suppression`：
  - 取消該 email 的所有訂閱（跨租戶）
  - 加入全域黑名單
- `complaint`：
  - 僅取消該筆訂閱（依 `subscriber_id + list_id`）
  - 不加入黑名單

### `/subscriptions/disable` 請求欄位（Send Engine -> Member Center）
- `tenant_id`（UUID）
- `subscriber_id`（UUID）
- `list_id`（UUID）
- `reason`（`hard_bounce | soft_bounce_threshold | complaint | suppression`）
- `disabled_by`（建議固定 `send_engine`）
- `occurred_at`（RFC3339）

Member Center 會用 `subscriber_id + list_id` 查詢訂閱，再驗證 `tenant_id` 邊界；驗證通過後才寫入全域 email 黑名單。

### One-Click 退訂 Token 介接方式（Send Engine）
用途：Send Engine 在寄信前批次向 Member Center 取得每位收件者的 one-click 退訂 token。

步驟：
1. 以 client credentials 取得 access token（scope：`newsletter:events.write` 或 `newsletter:events.write.global`）
2. 呼叫 `POST /newsletter/one-click-unsubscribe-tokens`
3. 將回傳 `status=issued` 的 `unsubscribe_token` 寫入每封信的 `List-Unsubscribe` URL

Request（批次）：
```json
{
  "tenant_id": "c9034414-43d6-404e-8d41-e80922420bf1",
  "list_id": "a92fdeda-29bb-42ca-9c05-e7df3983288a",
  "subscriber_ids": [
    "33333333-3333-3333-3333-333333333333",
    "44444444-4444-4444-4444-444444444444"
  ]
}
```

Response（批次）：
```json
{
  "items": [
    {
      "subscriber_id": "33333333-3333-3333-3333-333333333333",
      "unsubscribe_token": "token-xxx",
      "status": "issued"
    },
    {
      "subscriber_id": "44444444-4444-4444-4444-444444444444",
      "unsubscribe_token": null,
      "status": "blacklisted"
    }
  ]
}
```

狀態說明：
- `issued`：可直接用於 one-click 退訂連結
- `not_found`：找不到對應訂閱者（tenant/list/subscriber 邊界不匹配）
- `blacklisted`：已在黑名單，不提供 token