@press2ai/engine 0.3.0 → 0.4.0

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@press2ai/engine",
-  "version": "0.3.0",
+  "version": "0.4.0",
   "description": "Multi-tenant runtime + template contracts dla otwarty-* verticali. SSR na Cloudflare Workers, isomorphic renderer (SSG/browser w roadmapie).",
   "type": "module",
   "license": "MIT",

package/src/ceidg-vertical.ts

@@ -22,9 +22,10 @@
  *     i — fix względem starego trener-landinga — `cities` query też filtruje
  *     po kategorii (wcześniej trener pokazywał miasta z całej tabeli leads,
  *     mieszając wszystkie wertykale).
- *   - Opt-out jest **globalny** — UPDATE leads bez filtra category. RODO
- *     sprzeciw to usunięcie danych osobowych, nie selektywne ukrycie w jednej
- *     kategorii. Komentarz przeniesiony z terapeuta-landinga.
+ *   - Opt-out jest **globalny** i **hard delete**: DELETE FROM leads + wpis
+ *     w `opted_out_nips` (blacklist NIP-ów żeby sync nie wprowadził z powrotem).
+ *     RODO art. 17 — usunięcie danych osobowych, nie soft flag. Z karty profilu
+ *     przez slug (jeden klik), bez formularza NIP.
  *
  * Hono jest peer dependency (każdy wertykal i tak go ma). Engine core nie
  * importuje Hono — tylko ten subpath go używa.
@@ -53,7 +54,6 @@ export type CeidgLead = {
   claimed: number;
   external_site_url: string | null;
   fetched_at: number;
-  opted_out_at: number | null;
 };
 
 export type CeidgBindings = { DB: D1Database; CACHE: KVNamespace };
@@ -108,17 +108,15 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
   // ─────────── SQL ───────────
   // EXISTS subselect zamiast JOIN: lead z N PKDs nie multiplikuje wierszy.
   // (SELECT pkd ... LIMIT 1) wybiera jeden PKD per lead — wystarczy do
-  // pkdToJobTitle. To jest świadomy uproszczenie: lead z mieszanymi PKDs
-  // (np. fizjoterapia + psychologia) dostanie tylko jeden label.
+  // pkdToJobTitle. Świadome uproszczenie: lead z mieszanymi PKDs dostanie
+  // jeden label. Filtr opted-out zbędny — opt-out to hard delete (0010).
   const leadsQuery = `
     SELECT l.nip, l.first_name, l.last_name, c.name as city,
            l.company_name, l.slug, l.claimed, l.external_site_url, l.fetched_at,
-           l.opted_out_at,
            (SELECT pkd FROM lead_pkd WHERE nip = l.nip LIMIT 1) as pkd
     FROM leads l
     LEFT JOIN cities c ON l.city_id = c.id
-    WHERE l.opted_out_at IS NULL
-      AND EXISTS (SELECT 1 FROM lead_categories WHERE lead_nip = l.nip AND category = ?)`;
+    WHERE EXISTS (SELECT 1 FROM lead_categories WHERE lead_nip = l.nip AND category = ?)`;
 
   // Cities query filtruje po kategorii — fix względem starego trener landinga
   // który pokazywał miasta z całej tabeli leads (mieszane wertykale).
@@ -127,7 +125,6 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
     FROM leads l
     JOIN cities c ON l.city_id = c.id
     INNER JOIN lead_categories lc ON l.nip = lc.lead_nip AND lc.category = ?
-    WHERE l.opted_out_at IS NULL
     GROUP BY c.name ORDER BY count DESC LIMIT 8`;
 
   // ─────────── Content loader ───────────
@@ -261,10 +258,15 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
   }
   app.get('/opt-out', (c) => c.html(renderStatic(pages.optOutForm)));
 
+  // One-click opt-out: przycisk na karcie profilu POST-uje slug. Hard delete
+  // z `leads` (cascade do `lead_pkd`/`lead_categories`) + insert do blacklisty
+  // `opted_out_nips` żeby sync nie wprowadził NIP-a z powrotem. Rate limit
+  // 5/h/IP przeciw abuse — slug jest publiczny, ktokolwiek może nukeować,
+  // ale katalog to publiczne wizytówki z CEIDG, nie konta.
   app.post('/opt-out', async (c) => {
     const form = await c.req.formData();
-    const nip = String(form.get('nip') ?? '').replace(/\D/g, '');
-    if (nip.length !== 10) return c.text('Nieprawidłowy NIP', 400);
+    const slug = String(form.get('slug') ?? '').trim();
+    if (!slug) return c.text('Brak slug', 400);
 
     const ip = c.req.header('cf-connecting-ip') ?? '0.0.0.0';
     const rlKey = `vertical:${category}:rl:optout:${ip}`;
@@ -272,16 +274,21 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
     if (rlVal >= OPTOUT_LIMIT) return c.text('Zbyt wiele prób. Spróbuj ponownie za godzinę.', 429);
     await c.env.CACHE.put(rlKey, String(rlVal + 1), { expirationTtl: OPTOUT_WINDOW_SEC });
 
-    // Opt-out jest GLOBALNY — usuwa też z innych wertykali. RODO sprzeciw to
-    // usunięcie danych osobowych, nie selektywne ukrycie w jednej kategorii.
-    const res = await c.env.DB
-      .prepare(
-        'UPDATE leads SET opted_out_at = ?, opted_out_ip = ?, opted_out_ua = ? WHERE nip = ? AND opted_out_at IS NULL',
-      )
-      .bind(Math.floor(Date.now() / 1000), ip, c.req.header('user-agent') ?? '', nip)
-      .run();
+    const row = await c.env.DB
+      .prepare('SELECT nip FROM leads WHERE slug = ?')
+      .bind(slug)
+      .first<{ nip: string }>();
+    if (!row) return c.text('Nie znaleziono wpisu', 404);
+
+    const now = Math.floor(Date.now() / 1000);
+    const ipHash = await sha256Hex(ip + ':' + slug);
+    await c.env.DB.batch([
+      c.env.DB.prepare('INSERT OR IGNORE INTO opted_out_nips (nip, opted_out_at, ip_hash) VALUES (?, ?, ?)').bind(row.nip, now, ipHash),
+      c.env.DB.prepare('DELETE FROM lead_categories WHERE lead_nip = ?').bind(row.nip),
+      c.env.DB.prepare('DELETE FROM lead_pkd WHERE nip = ?').bind(row.nip),
+      c.env.DB.prepare('DELETE FROM leads WHERE nip = ?').bind(row.nip),
+    ]);
 
-    if (!res.meta.changes) return c.text('Nie znaleziono wpisu', 404);
     return c.html(renderStatic(pages.optOutDone));
   });
 
@@ -303,3 +310,8 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
 
   return app;
 }
+
+async function sha256Hex(input: string): Promise<string> {
+  const buf = await crypto.subtle.digest('SHA-256', new TextEncoder().encode(input));
+  return Array.from(new Uint8Array(buf)).map((b) => b.toString(16).padStart(2, '0')).join('');
+}