feat(server-mode): gehostete Web-GUI fest an einen Server binden

VITE_SERVER_MODE=1 (vom Dockerfile.app gesetzt) → die App ist die Web-GUI
GENAU DIESES Servers: keine Lokal/Server-Wahl (BackendChoice), kein
Server-Adress-Wechsel, kein Verbinden auf andere Instanzen. Nur Login auf
diesem Server. Tauri (lokale DMG) setzt die Flag NIE → behält volle Wahl
(Lokal / beliebige Server-IP).

- adapter.js: isServerMode-Export; im Server-Modus fest SupabaseAdapter mit
  Build-URL/Key, localStorage-Werte erzwungen (kein User-Override)
- App.jsx: BackendChoice im Server-Modus überspringen
- Login.jsx: Verbindungs-Switch + Server-Adressfeld im Server-Modus ausblenden

Beide Builds verifiziert: Server-Build brennt URL ein, Normal-Build nicht.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

src/App.jsx

@@ -1,7 +1,7 @@
 import React, { useState, useEffect, useCallback, useRef, Suspense, lazy } from "react";
 import { NAV_ITEMS, defaultData } from "./constants.js";
 import { verifyPassword, withHashedPassword, stripCredentials } from "./utils.js";
-import { storage, isCloudBackend } from "./storage/adapter.js";
+import { storage, isCloudBackend, isServerMode } from "./storage/adapter.js";
 import { applyMigrations } from "./storage/migrations.js";
 import Login from "./views/Login.jsx";
 import Setup from "./views/Setup.jsx";
@@ -61,6 +61,10 @@ export default function App() {
   // Cloud-spezifisch: Liste der Studios auf der Instanz (für Erst-Setup-Check).
   // null = noch nicht geladen; Array = geladen.
   const [cloudStudios, setCloudStudios] = useState(null);
+  // true, wenn listStudios() fehlschlug (Kong/API nicht erreichbar). Wird
+  // genutzt, um NICHT fälschlich den Init-/Registrierungs-Screen zu zeigen —
+  // ein API-Fehler ist nicht dasselbe wie "Instanz hat 0 Studios".
+  const [cloudUnreachable, setCloudUnreachable] = useState(false);
   // Passwort-Reset-Flow: Supabase löst beim Klick auf Reset-Link in der Mail
   // ein PASSWORD_RECOVERY-Event aus → wir zeigen dann das Reset-Formular.
   const [passwordRecovery, setPasswordRecovery] = useState(false);
@@ -87,13 +91,15 @@ export default function App() {
             console.error("Cloud-Resume load failed:", e);
           }
         }
-        // Studios der Instanz holen — entscheidet später, ob CloudSetup oder Login zeigt
+        // Studios der Instanz holen — entscheidet später, ob CloudSetup oder Login zeigt.
+        // Bei Fehler (Kong/API down): NICHT [] setzen (das hieße "Instanz leer" →
+        // fälschlich Init-Screen). Stattdessen Unreachable-Flag → Login bleibt.
         try {
           const list = await storage.listStudios?.();
-          if (!cancelled) setCloudStudios(list || []);
+          if (!cancelled) { setCloudStudios(list || []); setCloudUnreachable(false); }
         } catch (e) {
           console.error("listStudios failed:", e);
-          if (!cancelled) setCloudStudios([]);
+          if (!cancelled) { setCloudStudios(null); setCloudUnreachable(true); }
         }
         if (!cancelled) setLoading(false);
         return;
@@ -458,8 +464,10 @@ export default function App() {
   // lokalen Daten gibt. Sobald er gewählt hat, übernimmt der jeweilige Wizard.
   // UpdateNotifier wird in allen Pre-Login-Screens mitgerendert, damit ein
   // hängender Setup-Wizard sich via Auto-Update selbst befreien kann.
+  // Server-Modus (gehostete Web-GUI): nie die Lokal/Server-Wahl zeigen — die
+  // App ist fest an diesen Server gebunden. Nur die lokale DMG zeigt die Wahl.
   const hasChosenBackend = localStorage.getItem("rapport_backend_chosen") === "1";
-  if (!hasChosenBackend && isNewInstall && !data.settings.setupCompleted && !currentUser) {
+  if (!isServerMode && !hasChosenBackend && isNewInstall && !data.settings.setupCompleted && !currentUser) {
     return <><BackendChoice /><UpdateNotifier /></>;
   }
 
@@ -499,7 +507,10 @@ export default function App() {
   // ohne Login läuft (sonst kommt man bei einem fehlerhaften Setup-Screen nie
   // an ein neueres Build, das den Bug fixt).
   if (!currentUser) {
-    if (isCloudBackend && cloudStudios !== null && cloudStudios.length === 0) {
+    // Init-/Registrierungs-Screen NUR wenn der API-Call erfolgreich war UND
+    // wirklich 0 Studios lieferte. Bei !cloudUnreachable ausgeschlossen, dass
+    // ein Kong/API-Fehler (cloudStudios === null) hier fälschlich Init zeigt.
+    if (isCloudBackend && !cloudUnreachable && cloudStudios !== null && cloudStudios.length === 0) {
       const cloudUrl = localStorage.getItem("rapport_cloud_url") || "";
       return <>
         <CloudSetup cloudInit={cloudInit} cloudUrl={cloudUrl} />
@@ -507,7 +518,7 @@ export default function App() {
       </>;
     }
     return <>
-      <Login verifyLogin={verifyLogin} settings={data.settings} version="0.8.2" />
+      <Login verifyLogin={verifyLogin} settings={data.settings} version="0.8.2" cloudUnreachable={cloudUnreachable} />
       <UpdateNotifier />
     </>;
   }

src/storage/adapter.js

@@ -45,8 +45,17 @@ export class LocalStorageAdapter {
   }
 }
 
+// SERVER-MODUS: dieser Build ist die gehostete Web-GUI eines bestimmten
+// Servers (gesetzt via VITE_SERVER_MODE=1 im Dockerfile.app). Dann ist die App
+// FEST an diesen einen Server gebunden — keine Lokal/Server-Wahl, kein Wechsel
+// der Server-Adresse, kein Verbinden auf andere Instanzen. Nur der Login auf
+// genau diesem Server. Die lokale DMG (Tauri) setzt diese Flag NIE und behält
+// die volle Wahl (Lokal / beliebige Server-IP).
+const _isTauri = typeof window !== "undefined" && !!window.__TAURI_INTERNALS__;
+export const isServerMode = import.meta.env.VITE_SERVER_MODE === "1" && !_isTauri;
+
 function createAdapter() {
-  const isTauri = typeof window !== "undefined" && !!window.__TAURI_INTERNALS__;
+  const isTauri = _isTauri;
   // Build-time-URL nur für Web-Deploy gültig. Tauri-Builds ignorieren den
   // eingebrannten Wert — Desktop-User geben die Server-URL aktiv ein.
   // Der Anon-Key bleibt aus dem Build, weil er pro Cloud-Instanz konstant ist
@@ -54,6 +63,22 @@ function createAdapter() {
   const envUrl = isTauri ? null : import.meta.env.VITE_SUPABASE_URL;
   const envKey = import.meta.env.VITE_SUPABASE_ANON_KEY;
 
+  // ── Server-Modus: fest auf diesen Server, ohne Wahlmöglichkeit ───────────
+  if (isServerMode) {
+    if (!envUrl || !envKey) {
+      console.error("VITE_SERVER_MODE=1, aber VITE_SUPABASE_URL/ANON_KEY fehlen — Fehlkonfiguration des Web-Builds.");
+      return new LocalStorageAdapter();
+    }
+    // localStorage konsistent halten (Login liest cloud_url für listStudios),
+    // aber der User kann nichts davon ändern — die Werte kommen aus dem Build.
+    if (typeof localStorage !== "undefined") {
+      localStorage.setItem("rapport_backend", "cloud");
+      localStorage.setItem("rapport_backend_chosen", "1");
+      localStorage.setItem("rapport_cloud_url", envUrl.replace(/\/+$/, ""));
+    }
+    return new SupabaseAdapter(envUrl, envKey);
+  }
+
   if (typeof localStorage !== "undefined") {
     // ── Auto-Recovery für 0.8.0-Upgrade-Bug ──────────────────────────────
     // 0.8.0 hat Cloud-Modus ungewollt gesetzt bei Lokal-Usern (siehe 0.8.1

src/storage/supabase-adapter.js

@@ -125,10 +125,13 @@ export class SupabaseAdapter {
   // Kein Auth nötig (RPC läuft als SECURITY DEFINER).
   async listStudios() {
     const { data, error } = await this.client.rpc("list_studios");
-    if (error) {
+    // WICHTIG: Fehler NICHT zu [] verschlucken. Ein leeres Array bedeutet
-      console.error("listStudios:", error.message);
+    // "Instanz hat 0 Studios" → das Frontend zeigt dann den Registrierungs-/
-      return [];
+    // Init-Screen. Ein Netzwerk-/API-Fehler (Kong down, Port 8000 nicht
-    }
+    // erreichbar) ist aber NICHT dasselbe wie "leer" — würden wir hier []
+    // zurückgeben, landet ein eingeloggter User nach Reload fälschlich im
+    // Init-Flow. Daher: werfen und den Caller entscheiden lassen.
+    if (error) throw new Error("listStudios: " + error.message);
     return data || [];
   }
 

src/views/Login.jsx

@@ -1,5 +1,5 @@
 import React, { useEffect, useRef, useState } from "react";
-import { storage, isCloudBackend } from "../storage/adapter.js";
+import { storage, isCloudBackend, isServerMode } from "../storage/adapter.js";
 
 const isValidEmail = (s) => /.+@.+\..+/.test(s);
 
@@ -16,7 +16,7 @@ function writeAttempts(state) {
   try { sessionStorage.setItem(ATTEMPT_KEY, JSON.stringify(state)); } catch {}
 }
 
-export default function Login({ verifyLogin, settings, version }) {
+export default function Login({ verifyLogin, settings, version, cloudUnreachable = false }) {
   // Backend-Modus aus localStorage (per-Device, ähnlich Dark Mode).
   // Beim Wechsel wird die App neu geladen, damit der Storage-Adapter neu initialisiert.
   const [backend, setBackend] = useState(() => localStorage.getItem("rapport_backend") || "local");
@@ -121,8 +121,10 @@ export default function Login({ verifyLogin, settings, version }) {
   const userPlaceholder = isCloud ? "name@studio.ch" : "admin";
   const userInputType = isCloud ? "email" : "text";
 
-  const showUrlField = isCloud && editUrl;
+  // Im Server-Modus (gehostete Web-GUI) gibt es keine Server-Adress-Eingabe —
-  const showUrlBadge = isCloud && !editUrl && cloudUrl;
+  // die App ist fest an diesen Server gebunden.
+  const showUrlField = isCloud && editUrl && !isServerMode;
+  const showUrlBadge = isCloud && !editUrl && cloudUrl && !isServerMode;
 
   // Hostname zur Anzeige (ohne Protokoll, ohne Port falls Standard)
   let urlDisplay = cloudUrl;
@@ -236,6 +238,12 @@ export default function Login({ verifyLogin, settings, version }) {
           <div style={{ width: 32, height: 1.5, background: "#ddd8d0", margin: "16px auto 0" }} />
         </div>
 
+        {cloudUnreachable && (
+          <div style={{ marginBottom: 18, padding: "9px 14px", background: "#fff5f0", borderRadius: 8, border: "1px solid #f5c9b0", fontSize: 11, color: "#b5621e", textAlign: "center", lineHeight: 1.5 }}>
+            Server nicht erreichbar. Bitte Verbindung prüfen und neu laden.
+          </div>
+        )}
+
         <form onSubmit={handleSubmit}>
           {isCloud && studios.length > 1 && (
             <div style={{ marginBottom: 14 }}>
@@ -375,6 +383,10 @@ export default function Login({ verifyLogin, settings, version }) {
         )}
 
         {/* Verbindung-Switch + Server-Anzeige (dezent darunter) */}
+        {/* Verbindungs-Switch (Lokal/Server + Server-Adresse) nur in der lokalen
+            DMG. Die gehostete Web-GUI (Server-Modus) ist fest an diesen Server
+            gebunden — keine Wahl, kein Wechsel. */}
+        {!isServerMode && (
         <div style={{
           marginTop: 22, paddingTop: 16,
           borderTop: "1px solid #ebe7e1",
@@ -407,6 +419,7 @@ export default function Login({ verifyLogin, settings, version }) {
             </div>
           )}
         </div>
+        )}
 
         <div style={{ marginTop: 16, textAlign: "center", fontSize: 9, color: "#c8c4be", letterSpacing: "0.08em" }}>
           {version ? `V${version}` : ""}

supabase/migrations/0002_storage.sql

@@ -11,44 +11,55 @@
 -- Buckets sind PRIVATE — Zugriff nur über signierte URLs (zeitlich begrenzt).
 -- ============================================================================
 
-insert into storage.buckets (id, name, public)
+-- Hinweis: KEINE `public`-Spalte angeben. Beim Postgres-Init existiert sie in
+-- storage.buckets noch nicht (die fügt die Storage-API erst beim Boot per
+-- eigener Migration hinzu). Default ist `false` → Buckets sind privat, wie
+-- gewünscht. Würden wir `public` referenzieren, bräche der Init hier ab und
+-- ALLE folgenden Migrations (inkl. ensure_profile in 0005) liefen nicht mehr.
+insert into storage.buckets (id, name)
 values
-  ('receipts', 'receipts', false),
+  ('receipts', 'receipts'),
-  ('logos',    'logos',    false)
+  ('logos',    'logos')
 on conflict (id) do nothing;
 
 -- ────────────────────────────────────────────────────────────────────────────
 -- RLS-Policies auf storage.objects
 -- ────────────────────────────────────────────────────────────────────────────
 -- Prinzip: erste Pfad-Komponente ist studio_id; Zugriff nur wenn Member.
--- `(storage.foldername(name))[1]` gibt die erste Pfad-Komponente zurück.
+-- `split_part(name, '/', 1)` gibt die erste Pfad-Komponente zurück.
+--
+-- Bewusst NICHT storage.foldername() benutzen: die Storage-API droppt/erstellt
+-- diese Funktion bei ihren eigenen Boot-Migrations neu. Eine Policy-Abhängigkeit
+-- darauf würde diesen Drop blockieren ("cannot drop function foldername") und
+-- die Storage-API in eine Crash-Loop schicken. split_part ist ein eingebautes
+-- Postgres-Builtin ohne diese Kopplung.
 
 create policy "rapport_storage_read"
   on storage.objects for select
   using (
     bucket_id in ('receipts','logos')
-    and is_studio_member( (storage.foldername(name))[1]::uuid )
+    and is_studio_member( split_part(name, '/', 1)::uuid )
   );
 
 create policy "rapport_storage_insert"
   on storage.objects for insert
   with check (
     bucket_id in ('receipts','logos')
-    and is_studio_member( (storage.foldername(name))[1]::uuid )
+    and is_studio_member( split_part(name, '/', 1)::uuid )
   );
 
 create policy "rapport_storage_update"
   on storage.objects for update
   using (
     bucket_id in ('receipts','logos')
-    and is_studio_member( (storage.foldername(name))[1]::uuid )
+    and is_studio_member( split_part(name, '/', 1)::uuid )
   );
 
 create policy "rapport_storage_delete"
   on storage.objects for delete
   using (
     bucket_id in ('receipts','logos')
-    and is_studio_member( (storage.foldername(name))[1]::uuid )
+    and is_studio_member( split_part(name, '/', 1)::uuid )
   );
 
 -- ────────────────────────────────────────────────────────────────────────────

supabase/migrations/0011_create_studio_for_user.sql

@@ -0,0 +1,65 @@
+-- ============================================================================
+-- RAPPORT — Studio für einen bestimmten User anlegen (Server-/Hosting-Pfad)
+-- ============================================================================
+-- `create_studio_with_admin` nutzt auth.uid() und läuft nur im Kontext eines
+-- eingeloggten Users (Frontend). RAPPORT-HOST provisioniert aber serverseitig
+-- mit service_role und kennt keinen auth.uid() — es übergibt die Ziel-User-ID
+-- explizit.
+--
+-- `create_studio_for_user` ist die service_role-Variante: identische Wirkung
+-- (Studio + Admin-Membership + Settings), aber die User-ID ist ein Parameter.
+-- Bewusst NICHT an `authenticated` gegrantet — nur service_role darf das, sonst
+-- könnte ein User sich selbst zum Admin beliebiger Studios machen.
+-- ============================================================================
+
+create or replace function create_studio_for_user(
+  p_user_id uuid,
+  p_name text,
+  p_slug text,
+  p_username text default null,
+  p_display_name text default null
+)
+  returns uuid
+  language plpgsql
+  security definer
+as $$
+declare
+  v_studio_id uuid;
+  v_email text;
+  v_username text;
+  v_display text;
+begin
+  if p_user_id is null then
+    raise exception 'p_user_id required';
+  end if;
+  select email into v_email from auth.users where id = p_user_id;
+  if v_email is null then
+    raise exception 'user % does not exist', p_user_id;
+  end if;
+
+  -- Profil sicherstellen (profiles.username/display_name sind NOT NULL; das
+  -- Frontend braucht sie beim ersten Login in die Instanz). Aus E-Mail
+  -- abgeleitet, falls nicht explizit übergeben.
+  v_username := coalesce(nullif(p_username, ''), split_part(v_email, '@', 1));
+  v_display  := coalesce(nullif(p_display_name, ''), v_username);
+  insert into profiles (id, username, display_name)
+  values (p_user_id, v_username, v_display)
+  on conflict (id) do nothing;
+
+  insert into studios (name, slug) values (p_name, p_slug) returning id into v_studio_id;
+  insert into studio_members (studio_id, user_id, app_role_id)
+    values (v_studio_id, p_user_id, 'r-admin');
+
+  -- Studio-Name + setup_completed in die settings übernehmen (Seed-Trigger hat
+  -- die Zeile mit Defaults bereits angelegt) — analog create_studio_with_admin.
+  update studio_settings
+    set name = p_name, setup_completed = true
+    where studio_id = v_studio_id;
+
+  return v_studio_id;
+end;
+$$;
+
+-- Nur service_role (RAPPORT-HOST). KEIN Grant an anon/authenticated.
+revoke all on function create_studio_for_user(uuid, text, text, text, text) from public;
+grant execute on function create_studio_for_user(uuid, text, text, text, text) to service_role;