Initial: RAPPORT-HOST Iteration 1 (proprietär)

Kommerzielle Hosting-/Abo-Plattform für Rapport-Instanzen.

- React-Frontend (Vite/JSX): Landing, Register, Login, Plans, Dashboard
- Node/Express-Backend: Auth (bcrypt+JWT), Stripe-Billing, Provisioning
- HOST-Postgres-Schema: accounts, subscriptions, instances
- Provisioning-Interface + Modell-A-Adapter (Studio im geteilten Stack)
- MOCK-Modus: voller End-to-End-Flow ohne Stripe/Rapport-Stack testbar
- Idempotentes Fulfillment (Upsert auf stripe_subscription_id)
- docker-compose für lokale host-db; identisch auf Hetzner deploybar

E2E lokal verifiziert: Register -> Checkout(mock) -> Instanz -> Idempotenz.

Lizenz: proprietär (kein AGPL-Code eingebunden, nur Netzwerk-API zur Familie).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

server/auth.js

@@ -0,0 +1,34 @@
+// HOST-Kundenkonten: Passwort-Hashing + JWT-Ausstellung/-Prüfung.
+// (Das sind die Konten auf der RAPPORT-HOST-Plattform — NICHT die Endnutzer
+// in den einzelnen Rapport-Instanzen.)
+import bcrypt from "bcryptjs";
+import jwt from "jsonwebtoken";
+import { env } from "./env.js";
+
+export async function hashPassword(plain) {
+  return bcrypt.hash(plain, 10);
+}
+
+export async function verifyPassword(plain, hash) {
+  return bcrypt.compare(plain, hash);
+}
+
+export function signToken(account) {
+  return jwt.sign({ sub: account.id, email: account.email }, env.jwtSecret, {
+    expiresIn: "7d",
+  });
+}
+
+// Express-Middleware: setzt req.account aus dem Bearer-Token oder 401.
+export function requireAuth(req, res, next) {
+  const header = req.headers.authorization || "";
+  const token = header.startsWith("Bearer ") ? header.slice(7) : null;
+  if (!token) return res.status(401).json({ error: "Nicht angemeldet." });
+  try {
+    const payload = jwt.verify(token, env.jwtSecret);
+    req.account = { id: payload.sub, email: payload.email };
+    next();
+  } catch {
+    res.status(401).json({ error: "Session ungültig oder abgelaufen." });
+  }
+}