// settings.jsx — Heronry-Settings als eigenständiges Modul. // // Aus views.jsx extrahiert, damit die Settings-React-Tree auch außerhalb von // Heronry mountbar wird (z. B. im Haikara-Hub via shared/settings-mount.js). // Verbleibende externe Abhängigkeiten: // • React/ReactDOM (UMD) // • apiFetch (api.js) // • can() (data.js) // • Icon, Btn, Modal, TagBadge, RoleBadge (ui.jsx) // • TweakSection, TweakColor, TweakSlider, TweakToggle, TweakSelect (tweaks-panel.jsx) // • AdminPanel (admin.jsx) // Alle werden über window-Globals erreicht — gleiche Konvention wie der Rest // der Codebase. const { useState, useEffect, useRef } = React; // ── SECURITY VIEW (2FA / Account) ───────────────────────────────────────────── // Mit `embedded` wird der äußere Wrapper (Padding, Breadcrumb, H2) weggelassen — // dafür das ist die Komponente in der SettingsView eingebettet. const SecurityView = ({ user, refreshUser, setRoute, embedded = false }) => { const [status, setStatus] = useState(null); // { enabled, hasPendingSecret, backupCodesRemaining } const [tgStatus, setTgStatus] = useState(null); // { enabled, chatLinked, botConfigured, botUsername } const [loading, setLoading] = useState(true); const [error, setError] = useState(''); // Setup-Wizard state const [setupOpen, setSetupOpen] = useState(false); const [setupData, setSetupData] = useState(null); // { secret, otpauthUrl, qrDataUrl } const [setupCode, setSetupCode] = useState(''); const [setupBusy, setSetupBusy] = useState(false); const [backupCodes, setBackupCodes] = useState(null); // String[] | null — nach erfolgreichem Enable // Disable + Regenerate state (TOTP) const [disableOpen, setDisableOpen] = useState(false); const [disableCode, setDisableCode] = useState(''); const [disableBusy, setDisableBusy] = useState(false); const [regenOpen, setRegenOpen] = useState(false); const [regenCode, setRegenCode] = useState(''); const [regenBusy, setRegenBusy] = useState(false); // Telegram state const [tgConnectOpen, setTgConnectOpen] = useState(false); const [tgConnectData, setTgConnectData] = useState(null); // { deepLink, token, expiresInSeconds } const [tgConnectBusy, setTgConnectBusy] = useState(false); const [tgDisableOpen, setTgDisableOpen] = useState(false); const [tgDisableCode, setTgDisableCode] = useState(''); const [tgDisableBusy, setTgDisableBusy] = useState(false); const [tgOtpSending, setTgOtpSending] = useState(false); const tgPollTimer = useRef(null); // Email-2FA state const [emailStatus, setEmailStatus] = useState(null); // { enabled, emailConfigured, maskedEmail } const [emailSetupOpen, setEmailSetupOpen] = useState(false); const [emailSetupCode, setEmailSetupCode] = useState(''); const [emailSetupSent, setEmailSetupSent] = useState(false); const [emailSetupBusy, setEmailSetupBusy] = useState(false); const [emailDisableOpen, setEmailDisableOpen] = useState(false); const [emailDisableCode, setEmailDisableCode] = useState(''); const [emailDisableBusy, setEmailDisableBusy] = useState(false); const [emailOtpSending, setEmailOtpSending] = useState(false); const reload = async () => { setLoading(true); setError(''); const [r1, r2, r3] = await Promise.all([ apiFetch('/api/auth/2fa/status'), apiFetch('/api/auth/2fa/telegram/status'), apiFetch('/api/auth/2fa/email/status'), ]); if (r1.ok) setStatus(r1.data); else setError(r1.data?.error || 'Status konnte nicht geladen werden.'); if (r2.ok) setTgStatus(r2.data); if (r3.ok) setEmailStatus(r3.data); setLoading(false); }; useEffect(() => { reload(); }, []); useEffect(() => () => { if (tgPollTimer.current) clearInterval(tgPollTimer.current); }, []); const formatSecret = (s) => (s || '').toUpperCase().match(/.{1,4}/g)?.join(' ') || ''; const startSetup = async () => { setError(''); setBackupCodes(null); setSetupCode(''); const { ok, data } = await apiFetch('/api/auth/2fa/setup', { method: 'POST' }); if (!ok) { window.toast?.(data?.error || '2FA-Setup fehlgeschlagen.', 'error'); return; } setSetupData(data); setSetupOpen(true); }; const submitEnable = async () => { if (!setupCode.trim()) return; setSetupBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/enable', { method: 'POST', body: { code: setupCode } }); setSetupBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } setBackupCodes(data.backupCodes); window.toast?.('2FA aktiviert.', 'success'); refreshUser?.(); reload(); }; const closeSetup = () => { setSetupOpen(false); setSetupData(null); setSetupCode(''); setBackupCodes(null); }; const submitDisable = async () => { if (!disableCode.trim()) return; setDisableBusy(true); const isBackup = disableCode.includes('-'); const body = isBackup ? { backupCode: disableCode } : { code: disableCode }; const { ok, data } = await apiFetch('/api/auth/2fa/disable', { method: 'POST', body }); setDisableBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } window.toast?.('2FA deaktiviert.', 'success'); setDisableOpen(false); setDisableCode(''); refreshUser?.(); reload(); }; const submitRegen = async () => { if (!regenCode.trim()) return; setRegenBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/regenerate', { method: 'POST', body: { code: regenCode } }); setRegenBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } setBackupCodes(data.backupCodes); setRegenOpen(false); setRegenCode(''); setSetupOpen(true); // Backup-Codes-Anzeige im gleichen Wizard window.toast?.('Backup-Codes neu generiert.', 'success'); reload(); }; const downloadCodes = () => { if (!backupCodes) return; const txt = `Heronry — Backup-Codes für ${user.email}\nGeneriert am ${new Date().toLocaleString('de-DE')}\n\n${backupCodes.join('\n')}\n\nJeder Code ist nur einmal verwendbar.\n`; const blob = new Blob([txt], { type: 'text/plain;charset=utf-8' }); const url = URL.createObjectURL(blob); const a = document.createElement('a'); a.href = url; a.download = `heronry-2fa-backup-codes.txt`; document.body.appendChild(a); a.click(); a.remove(); setTimeout(() => URL.revokeObjectURL(url), 1000); }; // ── Telegram-2FA-Helper ──────────────────────────────────────────────────── const stopTgPolling = () => { if (tgPollTimer.current) { clearInterval(tgPollTimer.current); tgPollTimer.current = null; } }; const startTgSetup = async () => { setTgConnectBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/telegram/setup', { method: 'POST' }); setTgConnectBusy(false); if (!ok) { window.toast?.(data?.error || 'Setup nicht möglich.', 'error'); return; } setTgConnectData(data); setTgConnectOpen(true); // Polling: alle 2.5s Status checken bis enabled=true (oder Modal manuell geschlossen). stopTgPolling(); tgPollTimer.current = setInterval(async () => { const r = await apiFetch('/api/auth/2fa/telegram/status'); if (r.ok && r.data?.enabled) { stopTgPolling(); setTgConnectOpen(false); setTgConnectData(null); window.toast?.('Telegram verknüpft.', 'success'); refreshUser?.(); reload(); } }, 2500); }; const closeTgConnect = () => { stopTgPolling(); setTgConnectOpen(false); setTgConnectData(null); }; const sendTgOtpForDisable = async () => { setTgOtpSending(true); const { ok, data } = await apiFetch('/api/auth/2fa/telegram/send-otp', { method: 'POST' }); setTgOtpSending(false); if (!ok) { window.toast?.(data?.error || 'OTP-Versand fehlgeschlagen.', 'error'); return; } window.toast?.('Code wurde an dein Telegram gesendet.', 'success'); }; const submitTgDisable = async () => { if (!tgDisableCode.trim()) return; setTgDisableBusy(true); const isBackup = tgDisableCode.includes('-'); const body = isBackup ? { backupCode: tgDisableCode } : { code: tgDisableCode }; const { ok, data } = await apiFetch('/api/auth/2fa/telegram/disable', { method: 'POST', body }); setTgDisableBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } setTgDisableOpen(false); setTgDisableCode(''); window.toast?.('Telegram-Verknüpfung gelöst.', 'success'); refreshUser?.(); reload(); }; // ── Email-2FA-Helper ─────────────────────────────────────────────────────── const startEmailSetup = async () => { setEmailSetupBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/email/setup', { method: 'POST' }); setEmailSetupBusy(false); if (!ok) { window.toast?.(data?.error || 'Setup nicht möglich.', 'error'); return; } setEmailSetupOpen(true); setEmailSetupCode(''); setEmailSetupSent(true); window.toast?.(`Code gesendet an ${data.maskedEmail || 'deine E-Mail'}.`, 'success'); }; const resendEmailSetup = async () => { setEmailSetupBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/email/setup', { method: 'POST' }); setEmailSetupBusy(false); if (!ok) { window.toast?.(data?.error || 'Erneuter Versand fehlgeschlagen.', 'error'); return; } window.toast?.('Neuer Code unterwegs.', 'success'); }; const submitEmailEnable = async () => { if (!emailSetupCode.trim()) return; setEmailSetupBusy(true); const { ok, data } = await apiFetch('/api/auth/2fa/email/enable', { method: 'POST', body: { code: emailSetupCode } }); setEmailSetupBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } setEmailSetupOpen(false); setEmailSetupCode(''); setEmailSetupSent(false); window.toast?.('E-Mail-2FA aktiviert.', 'success'); refreshUser?.(); reload(); }; const closeEmailSetup = () => { setEmailSetupOpen(false); setEmailSetupCode(''); setEmailSetupSent(false); }; const sendEmailOtpForDisable = async () => { setEmailOtpSending(true); const { ok, data } = await apiFetch('/api/auth/2fa/email/send-otp', { method: 'POST' }); setEmailOtpSending(false); if (!ok) { window.toast?.(data?.error || 'OTP-Versand fehlgeschlagen.', 'error'); return; } window.toast?.('Code wurde an deine E-Mail gesendet.', 'success'); }; const submitEmailDisable = async () => { if (!emailDisableCode.trim()) return; setEmailDisableBusy(true); const isBackup = emailDisableCode.includes('-'); const body = isBackup ? { backupCode: emailDisableCode } : { code: emailDisableCode }; const { ok, data } = await apiFetch('/api/auth/2fa/email/disable', { method: 'POST', body }); setEmailDisableBusy(false); if (!ok) { window.toast?.(data?.error || 'Code ungültig.', 'error'); return; } setEmailDisableOpen(false); setEmailDisableCode(''); window.toast?.('E-Mail-2FA deaktiviert.', 'success'); refreshUser?.(); reload(); }; const Wrapper = embedded ? React.Fragment : 'div'; const wrapperProps = embedded ? {} : { style: { padding: 32, maxWidth: 720, width: '100%', margin: '0 auto', boxSizing: 'border-box' } }; return ( {!embedded && ( <>

Konto & Sicherheit

Eingeloggt als {user.name} · {user.email}

)} {embedded && (

Konto & Sicherheit

)} {/* Profil-Card — Avatar + Name */} {/* 2FA Card */}

Zwei-Faktor-Authentifizierung

{loading ? '…' : status?.enabled ? 'Aktiv' : 'Inaktiv'}

Beim Login wird zusätzlich zum Passwort ein 6-stelliger Code aus deiner Authenticator-App abgefragt. Empfohlene Apps: Aegis, 1Password, Google Authenticator, Authy.

{error &&
{error}
} {!loading && !status?.enabled && ( 2FA einrichten )} {!loading && status?.enabled && (
setDisableOpen(true)}>Deaktivieren setRegenOpen(true)}>Backup-Codes neu generieren {status.backupCodesRemaining} Backup-Codes übrig
)}
{/* Telegram-2FA Card */}

Telegram als 2FA-Methode

{loading ? '…' : tgStatus?.enabled ? 'Verknüpft' : 'Nicht verknüpft'}

Login-Codes kommen als Telegram-Nachricht von {tgStatus?.botUsername ? `@${tgStatus.botUsername}` : 'unserem Bot'}. Funktioniert parallel zur Authenticator-App — eine der beiden Methoden reicht zum Login.

{!loading && !tgStatus?.botConfigured && (
⚠️ Telegram-Bot ist auf dem Server noch nicht konfiguriert (TELEGRAM_BOT_TOKEN in .env).
)} {!loading && tgStatus?.botConfigured && !tgStatus?.enabled && ( {tgConnectBusy ? 'Lade…' : 'Telegram verknüpfen'} )} {!loading && tgStatus?.enabled && ( setTgDisableOpen(true)}>Verknüpfung lösen )}
{/* Email-2FA Card */}

E-Mail als 2FA-Methode

{loading ? '…' : emailStatus?.enabled ? 'Aktiv' : 'Inaktiv'}

Login-Codes werden an deine registrierte E-Mail{emailStatus?.maskedEmail ? <> ({emailStatus.maskedEmail}) : null} geschickt. Funktioniert parallel zu Authenticator-App und Telegram — eine der Methoden reicht zum Login.

{!loading && !emailStatus?.emailConfigured && (
⚠️ SMTP ist auf dem Server noch nicht konfiguriert. Setup nicht möglich.
)} {!loading && emailStatus?.emailConfigured && !emailStatus?.enabled && ( {emailSetupBusy ? 'Sende…' : 'E-Mail-2FA aktivieren'} )} {!loading && emailStatus?.enabled && ( setEmailDisableOpen(true)}>Deaktivieren )}
{/* Email-Setup-Modal: Code an Mail → Code im UI bestätigen */}
Wir haben einen 6-stelligen Code an{' '} {emailStatus?.maskedEmail || 'deine E-Mail'}{' '} geschickt. Trag ihn unten ein, um die Methode scharfzuschalten.
setEmailSetupCode(e.target.value.replace(/[^\d]/g, '').slice(0, 6))} placeholder="123456" icon="lock" />
{emailSetupBusy ? 'Sende…' : 'Code erneut senden'}
Abbrechen {emailSetupBusy ? 'Prüfe…' : 'Aktivieren'}
{/* Email-Disable-Modal: TOTP / Backup / Telegram-OTP / Email-OTP */} { setEmailDisableOpen(false); setEmailDisableCode(''); }} title="E-Mail-2FA deaktivieren" width={440}>
Zur Bestätigung einen aktuellen Code eingeben — TOTP, Backup-Code (mit Bindestrich), Telegram-Code oder einen frischen E-Mail-Code (Button unten).
setEmailDisableCode(e.target.value)} placeholder="123456 oder xxxx-xxxx" icon="lock" />
{emailOtpSending ? 'Sende…' : 'Code an E-Mail senden'}
{ setEmailDisableOpen(false); setEmailDisableCode(''); }}>Abbrechen {emailDisableBusy ? 'Prüfe…' : 'Deaktivieren'}
{/* Telegram-Connect-Modal */} {tgConnectData && (
1. Klick den Link, um den Bot zu öffnen.
2. Tippe in Telegram auf Start (oder schicke /start).
3. Diese Seite erkennt das automatisch und schließt das Fenster.
Telegram öffnen
{tgConnectData.deepLink}
Warte auf Bestätigung im Telegram-Chat…
Abbrechen
)} {/* Telegram-Disable-Modal */} { setTgDisableOpen(false); setTgDisableCode(''); }} title="Telegram-Verknüpfung lösen" width={440}>
Zur Bestätigung einen aktuellen Code eingeben. {status?.enabled ? ' Du kannst entweder einen TOTP-Code aus deiner App, einen Backup-Code (mit Bindestrich) oder einen Telegram-Code (Button unten) verwenden.' : ' Klick "Code an Telegram senden", öffne Telegram, kopiere den Code hierher.'}
setTgDisableCode(e.target.value)} placeholder="123456 oder xxxx-xxxx" icon="lock" />
{tgOtpSending ? 'Sende…' : 'Code an Telegram senden'}
{ setTgDisableOpen(false); setTgDisableCode(''); }}>Abbrechen {tgDisableBusy ? 'Prüfe…' : 'Lösen'}
{/* Setup-Wizard / Backup-Codes-Anzeige */} {!backupCodes && setupData && (
1. QR-Code in deiner Authenticator-App scannen oder den Schlüssel manuell eingeben.
2FA-QR-Code
Manueller Schlüssel:
{formatSecret(setupData.secret)}
2. Den 6-stelligen Code aus der App eingeben:
setSetupCode(e.target.value.replace(/[^\d]/g, '').slice(0, 6))} placeholder="123456" icon="lock" />
Abbrechen {setupBusy ? 'Prüfe…' : 'Aktivieren'}
)} {backupCodes && (
⚠️ Diese Codes werden nur jetzt angezeigt. Speichere sie an einem sicheren Ort. Jeder Code ist nur einmal verwendbar — z. B. wenn du dein Handy verlierst.
{backupCodes.map((c, i) =>
{c}
)}
Als .txt herunterladen navigator.clipboard?.writeText(backupCodes.join('\n'))}>In Zwischenablage
Habe ich gespeichert
)} {/* Disable-Modal */} { setDisableOpen(false); setDisableCode(''); }} title="2FA deaktivieren" width={420}>
Aktuellen 6-stelligen Code aus deiner App eingeben — oder einen Backup-Code (mit Bindestrich).
setDisableCode(e.target.value)} placeholder="123456 oder xxxx-xxxx" icon="lock" />
{ setDisableOpen(false); setDisableCode(''); }}>Abbrechen {disableBusy ? 'Prüfe…' : 'Endgültig deaktivieren'}
{/* Regenerate-Modal */} { setRegenOpen(false); setRegenCode(''); }} title="Backup-Codes neu generieren" width={420}>
Alle bisherigen Backup-Codes werden ungültig. Aktuellen 6-stelligen App-Code zur Bestätigung eingeben.
setRegenCode(e.target.value.replace(/[^\d]/g, '').slice(0, 6))} placeholder="123456" icon="lock" />
{ setRegenOpen(false); setRegenCode(''); }}>Abbrechen {regenBusy ? 'Prüfe…' : 'Neu generieren'}
); }; // ── SETTINGS HUB ───────────────────────────────────────────────────────────── // Einheitliche Einstellungs-Seite mit Side-Tabs. Sammelt: Erscheinungsbild // (Tweaks), Benachrichtigungen, Konto & Sicherheit (2FA), Verwaltung (nur Admin). // Sub-Views (SecurityView, AdminPanel) werden mit `embedded` gerendert, damit // ihre eigenen Breadcrumbs/Headers nicht doppeln. const SettingsView = (props) => { const { user, refreshUser, setRoute, route, userCan = () => true, tweaks, setTweaks, darkMode, setDarkMode, // forwarded an AdminPanel: roles, setRoles, permissionCatalog, topicAreas, sections, refreshStructure, onSettingsChange, onReopenOnboarding, // App-Kontext: 'heronry' (Default — Heronry-eigenes Settings-Menü) / // 'hub' (Aggregator über alle Apps) / 'egret' / 'plumage'. app = 'heronry', } = props; const isAdmin = userCan('users:manage') || userCan('roles:manage') || userCan('settings:manage') || userCan('topic_areas:manage') || userCan('sections:manage'); const tabs = [ { id: 'appearance', label: 'Erscheinungsbild', icon: 'sliders' }, { id: 'notifications', label: 'Benachrichtigungen',icon: 'bell' }, { id: 'security', label: 'Konto & Sicherheit',icon: 'lock' }, isAdmin ? { id: 'admin', label: 'Verwaltung', icon: 'user' } : null, ].filter(Boolean); const initial = tabs.find(t => t.id === route.tab)?.id || 'appearance'; const [active, setActive] = useState(initial); useEffect(() => { if (route.tab && tabs.find(t => t.id === route.tab)) setActive(route.tab); }, [route.tab]); const goTab = (id) => { setActive(id); setRoute({ page: 'settings', tab: id }); }; return (
{/* Sidebar / Tab-Nav */} {/* Content */}
{active === 'appearance' && } {active === 'notifications' && } {active === 'security' && } {active === 'admin' && isAdmin && ( )}
); }; // Card-Wrapper für die einzelnen Settings-Tabs. const SettingsCard = ({ title, description, children }) => (

{title}

{description &&

{description}

} {!description &&
} {children}
); // Helper: pro-App-Theme-Toggle, liest/schreibt tweaks['.theme'] = 'dark'|'light' const AppThemeToggle = ({ app, tweaks, setTweaks }) => { const key = app + '.theme'; // Default ist dark. Nur expliziter 'light'-Wert dreht's um. const isDark = tweaks[key] !== 'light'; return ( setTweaks(p => ({ ...p, [key]: v ? 'dark' : 'light' }))} /> ); }; // Heronry-Tweaks-Block (wiederverwendet sowohl in heronry-Standalone als auch // in der Hub-Aggregator-View). const HeronryAppearanceFields = ({ tweaks, setTweaks, darkMode, setDarkMode }) => ( <> {darkMode !== undefined && setDarkMode && ( )} setTweaks(p => ({ ...p, accentColor: v }))} /> setTweaks(p => ({ ...p, sidebarWidth: v }))} /> setTweaks(p => ({ ...p, fontSize: v }))} /> setTweaks(p => ({ ...p, pageZoom: v }))} /> setTweaks(p => ({ ...p, fontMono: v }))} /> ); // Erscheinungsbild — UI-Tweaks. App-aware: Heronry zeigt seine eigenen Tweaks // (Akzent, Sidebar-Breite, Schriftgröße, …), Hub zeigt alle Apps als // Sub-Sektionen, Egret/Plumage zeigen nur die eigene App. const AppearanceTab = ({ tweaks, setTweaks, darkMode, setDarkMode, app = 'heronry' }) => { if (app === 'hub') { return ( <>

Erscheinungsbild

); } if (app === 'egret' || app === 'plumage') { const niceName = app === 'egret' ? 'Egret' : 'Plumage'; return ( <>

Erscheinungsbild

); } // Default: 'heronry' — eigenständige Heronry-View. return ( <>

Erscheinungsbild

setTweaks(p => ({ ...p, accentColor: v }))} /> setTweaks(p => ({ ...p, sidebarWidth: v }))} /> setTweaks(p => ({ ...p, fontSize: v }))} /> setTweaks(p => ({ ...p, pageZoom: v }))} /> setTweaks(p => ({ ...p, fontMono: v }))} /> ); }; // Benachrichtigungen — Mails, Reminder-Defaults, What's-New-Popup. App-aware: // account-level Notifications (Patch-Notes-Mails) sind global; Heronry-spezifische // Items (Termin-Reminder, Heronry-Welcome-Tour) zeigen wir nur im Heronry-Kontext. // Tour-Reset für Hub/Egret/Plumage über shared/tour.js — weckt die Spotlight-Tour. const NotificationsTab = ({ tweaks, setTweaks, onReopenOnboarding, app = 'heronry' }) => { const isHeronry = app === 'heronry'; const resetAppTour = () => { if (window.hkTour && typeof window.hkTour.reset === 'function') { window.hkTour.reset(app); } else { try { localStorage.removeItem('hk_tour_done_' + app); } catch (_) { /* ignore */ } } window.toast?.('Tour zurückgesetzt — beim nächsten Besuch zeigt sie sich wieder.', 'info'); }; const niceAppName = { hub: 'Hub', egret: 'Egret', plumage: 'Plumage' }[app]; return ( <>

Benachrichtigungen

setTweaks(p => ({ ...p, releaseNotifications: v }))} /> {isHeronry && ( <> setTweaks(p => ({ ...p, releasePopupsDisabled: !v }))} /> setTweaks(p => ({ ...p, reminderLeadDaysDefault: v }))} /> {onReopenOnboarding && ( Tour erneut anzeigen )} )} {!isHeronry && niceAppName && ( Tour zurücksetzen )} ); }; // ─── Profil-Card mit Avatar-Upload ────────────────────────────────────────── // Pipeline: User picked Datei → Cropper-Modal mit Pan + Zoom + runder Maske // (Discord-Style) → User klickt Anwenden → Canvas rendert das Crop-Window auf // 256×256 → WebP-Blob → POST. Der Crop ist genau die quadratische Bounding-Box // um den Kreis (das gerenderte ist sowieso runde Maskierung über // border-radius:50%; wir speichern das Quadrat, der Kreis ist nur visuelles // Feedback). Damit bleibt Server frei von libvips/sharp und der Wire klein. // Lädt eine File in ein HTMLImageElement (für Canvas-Operations). function fileToImage(file) { return new Promise((resolve, reject) => { const img = new Image(); const url = URL.createObjectURL(file); img.onload = () => resolve({ img, url }); img.onerror = () => { URL.revokeObjectURL(url); reject(new Error('Bild ungültig oder beschädigt.')); }; img.src = url; }); } // Rendert den aktuellen Crop-State (Bild + Pan + Zoom) auf ein 256×256-Canvas // und gibt einen WebP-Blob (mit PNG-Fallback) zurück. async function renderCropToBlob(img, viewport, zoom, ox, oy, target = 256) { // Cover-fitScale: kleinster Multiplier, sodass das Bild den Viewport komplett füllt. const fitScale = Math.max(viewport / img.width, viewport / img.height); const s = fitScale * zoom; // Quell-Rect im Image-Koordinatensystem: das, was im Viewport sichtbar ist. const srcW = viewport / s; const srcH = viewport / s; // Bild-Mittelpunkt ist im Viewport bei (vp/2 + ox, vp/2 + oy); // links davon liegen (vp/2 + ox)/s Bild-Pixel. const srcX = (img.width / 2) - (viewport / 2 + ox) / s; const srcY = (img.height / 2) - (viewport / 2 + oy) / s; const canvas = document.createElement('canvas'); canvas.width = target; canvas.height = target; const ctx = canvas.getContext('2d'); ctx.imageSmoothingQuality = 'high'; ctx.drawImage(img, srcX, srcY, srcW, srcH, 0, 0, target, target); const tryBlob = (mime, quality) => new Promise(r => canvas.toBlob(r, mime, quality)); let blob = await tryBlob('image/webp', 0.88); if (blob) return { blob, mime: 'image/webp' }; blob = await tryBlob('image/png'); if (blob) return { blob, mime: 'image/png' }; throw new Error('Bild konnte nicht kodiert werden.'); } // Cropper-Modal: zeigt das Bild mit runder Maske, Drag-to-Pan, Zoom-Slider. // Beim Klick auf Anwenden wird der aktuelle Crop als WebP-Blob via // onApply(blob, mime) zurückgereicht. Abbrechen → onClose(). const VP = 320; // Viewport-Größe in Pixel (CSS-Quadrat) const AvatarCropperModal = ({ open, file, onApply, onClose }) => { const [img, setImg] = useState(null); const [imgUrl, setImgUrl] = useState(null); const [zoom, setZoom] = useState(1); const [offset, setOffset] = useState({ x: 0, y: 0 }); const [busy, setBusy] = useState(false); const dragRef = useRef(null); // { startX, startY, startOX, startOY } // Bild laden / wechseln useEffect(() => { if (!open || !file) return; let cancelled = false; (async () => { try { const { img: loaded, url } = await fileToImage(file); if (cancelled) { URL.revokeObjectURL(url); return; } setImg(loaded); setImgUrl(url); setZoom(1); setOffset({ x: 0, y: 0 }); } catch (err) { window.toast?.(err.message || 'Bild konnte nicht geladen werden.', 'error'); onClose?.(); } })(); return () => { cancelled = true; }; }, [open, file]); // Cleanup Object-URL beim Schließen useEffect(() => { if (!open && imgUrl) { URL.revokeObjectURL(imgUrl); setImgUrl(null); setImg(null); } }, [open]); // Aktuelle "displayed dimensions" und Pan-Limits ableiten const fitScale = img ? Math.max(VP / img.width, VP / img.height) : 1; const s = fitScale * zoom; const dw = img ? img.width * s : VP; const dh = img ? img.height * s : VP; const maxOX = Math.max(0, (dw - VP) / 2); const maxOY = Math.max(0, (dh - VP) / 2); const clamp = (v, lo, hi) => Math.max(lo, Math.min(hi, v)); const clampOffset = (o) => ({ x: clamp(o.x, -maxOX, maxOX), y: clamp(o.y, -maxOY, maxOY) }); // Wenn Zoom geändert wird, Offset re-clampen (evtl. wandert Bild aus Viewport raus) useEffect(() => { setOffset(o => clampOffset(o)); }, [zoom, img]); const onPointerDown = (e) => { if (!img) return; e.currentTarget.setPointerCapture(e.pointerId); dragRef.current = { startX: e.clientX, startY: e.clientY, startOX: offset.x, startOY: offset.y }; }; const onPointerMove = (e) => { if (!dragRef.current) return; const dx = e.clientX - dragRef.current.startX; const dy = e.clientY - dragRef.current.startY; setOffset(clampOffset({ x: dragRef.current.startOX + dx, y: dragRef.current.startOY + dy })); }; const onPointerUp = (e) => { dragRef.current = null; try { e.currentTarget.releasePointerCapture(e.pointerId); } catch {} }; const onWheel = (e) => { if (!img) return; e.preventDefault(); const delta = -e.deltaY * 0.0015; setZoom(z => clamp(z + delta * z, 1, 4)); }; const reset = () => { setZoom(1); setOffset({ x: 0, y: 0 }); }; const apply = async () => { if (!img || busy) return; setBusy(true); try { const { blob, mime } = await renderCropToBlob(img, VP, zoom, offset.x, offset.y, 256); await onApply(blob, mime); } catch (err) { window.toast?.(err.message || 'Crop fehlgeschlagen.', 'error'); } finally { setBusy(false); } }; if (!open) return null; return (
{ if (e.target === e.currentTarget && !busy) onClose?.(); }} style={{ position: 'fixed', inset: 0, zIndex: 1100, background: 'rgba(0,0,0,0.72)', display: 'flex', alignItems: 'center', justifyContent: 'center', padding: 24, }} >

Bild bearbeiten

{/* Crop-Viewport */}
{imgUrl && ( )} {/* Runde Maske: dunkler box-shadow rundherum, Kreis selbst transparent. pointer-events:none damit Drag durch die Maske durchgeht. */}
{/* Zoom-Slider */}
setZoom(parseFloat(e.target.value))} style={{ flex: 1, accentColor: 'var(--accent)', cursor: 'pointer' }} aria-label="Zoom" />
{/* Footer: Reset links, Cancel/Apply rechts */}
!busy && onClose?.()}>Abbrechen
{busy ? 'Lade…' : 'Anwenden'}
); }; const ProfileCard = ({ user, refreshUser }) => { const fileInputRef = useRef(null); const [busy, setBusy] = useState(false); const [removing, setRemoving] = useState(false); const [cropFile, setCropFile] = useState(null); // wenn gesetzt → Cropper-Modal offen const onPick = () => fileInputRef.current?.click(); // Datei aus File-Picker → Cropper öffnen statt direkt hochladen const onChange = (e) => { const file = e.target.files?.[0]; e.target.value = ''; // gleiche Datei kann nochmal getriggert werden if (!file) return; if (!file.type.startsWith('image/')) { window.toast?.('Nur Bilddateien (PNG, JPG, WebP, GIF).', 'error'); return; } if (file.size > 10 * 1024 * 1024) { window.toast?.('Bild zu groß (max 10 MB Original).', 'error'); return; } setCropFile(file); }; // Cropper hat den finalen Crop gerendert → hochladen const onCropApply = async (blob, mime) => { setBusy(true); try { const ext = mime === 'image/webp' ? 'webp' : 'png'; const form = new FormData(); form.append('avatar', blob, `avatar.${ext}`); const token = localStorage.getItem('tb_token'); // API_BASE nur, wenn cross-origin (Hub/Plumage/Egret-Mount) — sonst // bleibt's relativ same-origin auf Heronry. const apiBase = window.API_BASE || window.HAIKARA_APPS?.api || ''; const res = await fetch(apiBase + '/api/users/me/avatar', { method: 'POST', headers: token ? { Authorization: `Bearer ${token}` } : {}, body: form, credentials: 'include', }); const data = await res.json().catch(() => ({})); if (!res.ok) throw new Error(data?.error || 'Upload fehlgeschlagen.'); window.toast?.('Profilbild aktualisiert.', 'success'); setCropFile(null); await refreshUser?.(); } catch (err) { console.error('[avatar.upload]', err); window.toast?.(err.message || 'Upload fehlgeschlagen.', 'error'); } finally { setBusy(false); } }; const onRemove = async () => { if (!user.avatar) return; if (!confirm('Profilbild entfernen?')) return; setRemoving(true); const { ok, data } = await apiFetch('/api/users/me/avatar', { method: 'DELETE' }); setRemoving(false); if (!ok) { window.toast?.(data?.error || 'Löschen fehlgeschlagen.', 'error'); return; } window.toast?.('Profilbild entfernt.', 'success'); refreshUser?.(); }; return (

Profil

{user.name}
{user.email}
Nach dem Auswählen kannst du das Bild verschieben und zoomen. Output: 256×256, sichtbar überall im Hub und in den Apps.
{busy ? 'Lade…' : (user.avatar ? 'Bild ändern' : 'Bild hochladen')} {user.avatar && ( {removing ? 'Entferne…' : 'Entfernen'} )}
setCropFile(null)} />
); }; Object.assign(window, { SecurityView, SettingsView, SettingsCard, AppearanceTab, NotificationsTab, ProfileCard, AvatarCropperModal });