docs(suit): add API reference documentation (#3284)

Author: maxgfr

.claude/rules/styling-dsfr.md

@@ -61,7 +61,7 @@ Never write raw `@media (max-width: 768px)`.
 
 ## DSFR runtime
 
-- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.js` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
+- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.mjs` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
 - **JS**: loaded via `<Script type="module" strategy="beforeInteractive">`. Handles modals, dropdowns, theme toggle, keyboard navigation. Never duplicate this logic in React — use `data-fr-*` attributes.
 - **Dark mode**: `data-fr-scheme="system"` on `<html>`, cookie `fr-theme` read by inline script to avoid flash, `ThemeModal` for user toggle.
 - **Icons**: `fr-icon-{name}-{fill|line}` classes. Always `aria-hidden="true"` on decorative icons.

README.md

@@ -193,12 +193,12 @@ Implémenté dans `packages/app/src/server/services/suitApiAuth.ts`.
 
 ```bash
 # Première génération
-./packages/app/scripts/generate-suit-signing-keys.sh generate dev       # → ./suit-signing-keys/dev/
-./packages/app/scripts/generate-suit-signing-keys.sh generate prod      # → ./suit-signing-keys/prod/
-./packages/app/scripts/generate-suit-signing-keys.sh generate all       # → les deux
+node packages/app/scripts/generate-suit-signing-keys.mjs generate dev    # → ./suit-signing-keys/dev/
+node packages/app/scripts/generate-suit-signing-keys.mjs generate prod   # → ./suit-signing-keys/prod/
+node packages/app/scripts/generate-suit-signing-keys.mjs generate all    # → les deux
 
 # Rotation (sauvegarde les anciennes clés, génère de nouvelles)
-./packages/app/scripts/generate-suit-signing-keys.sh renew prod
+node packages/app/scripts/generate-suit-signing-keys.mjs renew prod
 ```
 
 `generate` refuse d'écraser des clés existantes. `renew` les sauvegarde dans un dossier `backup-{date}` avant de regénérer.
@@ -229,15 +229,15 @@ Implémenté dans `packages/app/src/server/services/suitApiAuth.ts`.
 
    **Option B (script Node fourni)** — signe **toutes les routes SUIT protégées** en une seule exécution et affiche les `curl` prêts à copier :
    ```bash
-   node packages/app/scripts/generate-suit-signature.js \
+   node packages/app/scripts/generate-suit-signature.mjs \
      --key-file ./suit-signing-keys/dev/suit-signing.key
    ```
 
    Le script itère automatiquement sur les routes SUIT (actuellement `GET /api/v1/export/declarations` et `GET /api/v1/files`). Pour signer `GET /api/v1/files/<id>`, passer `--file-id <uuid>`. Pour surcharger l'URL cible, passer `--url https://egapro-preprod.fabrique.social.gouv.fr`. Voir `--help` pour toutes les options. Il suffit ensuite d'exporter `EGAPRO_SUIT_API_KEY=<api-key>` et d'exécuter un des `curl` affichés.
 
 ### Procédure de rotation
 
-1. `./packages/app/scripts/generate-suit-signing-keys.sh renew <env>` — génère une nouvelle paire, sauvegarde l'ancienne
+1. `node packages/app/scripts/generate-suit-signing-keys.mjs renew <env>` — génère une nouvelle paire, sauvegarde l'ancienne
 2. Mettre à jour le sealed-secret K8s avec la nouvelle clé publique
 3. Déployer EgaPro
 4. Transmettre la nouvelle clé privée à SUIT — ils doivent basculer juste après le déploiement

docs/SUIT-API.md

@@ -0,0 +1,158 @@
+# API EGAPRO — Équipe SUIT
+
+API REST sécurisée pour récupérer les déclarations soumises et les fichiers (avis CSE, évaluations conjointes).
+
+## Base URL
+
+- Alpha : `https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1`
+
+## Authentification
+
+Chaque requête doit porter **trois en-têtes** :
+
+| Header | Valeur |
+| --- | --- |
+| `Authorization` | `Bearer <EGAPRO_SUIT_API_KEY>` |
+| `X-Timestamp` | Epoch en secondes (UTC) |
+| `X-Signature` | Signature RSA-SHA256 (base64) du payload `{timestamp}\|{METHOD}\|{pathname}` avec la clé privée SUIT |
+
+Fenêtre anti-replay : **30 jours** en dev/alpha, **30 secondes** en preprod/prod.
+
+## Générer la paire de clés RSA
+
+À faire **une seule fois** côté SUIT. Garder la clé privée en lieu sûr (coffre, secret manager).
+
+```sh
+openssl genrsa -out suit_private_key.pem 4096
+openssl rsa -in suit_private_key.pem -pubout -out suit_public_key.pem
+```
+
+Encoder la clé publique en base64 et la transmettre à l'équipe EGAPRO (qui l'injectera dans `EGAPRO_SUIT_PUBLIC_KEY_PEM`) :
+
+```sh
+base64 -w0 suit_public_key.pem     # Linux
+base64 -i suit_public_key.pem | tr -d '\n'   # macOS
+```
+
+En retour, EGAPRO fournit la clé d'API (Bearer) à exporter :
+
+```sh
+export EGAPRO_SUIT_API_KEY="<clé fournie par EGAPRO>"
+```
+
+## Générer la signature pour toutes les routes (en une commande)
+
+Signe toutes les routes SUIT avec le même `TS` et affiche les 3 headers + un `curl` prêt à copier pour chacune.
+
+Prérequis : `suit_private_key.pem` dans le dossier courant, `EGAPRO_SUIT_API_KEY` exporté, `BASE_URL` défini.
+
+```sh
+BASE_URL="https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1"
+API_PREFIX="/api/v1"
+TS=$(date +%s)
+
+# Remplacer <fileId> par l'identifiant du fichier à télécharger.
+for ROUTE in \
+  "GET /export/declarations" \
+  "GET /files" \
+  "GET /files/<fileId>"
+do
+  METHOD="${ROUTE%% *}"
+  SUBPATH="${ROUTE#* }"
+  PATHNAME="$API_PREFIX$SUBPATH"
+  SIG=$(printf '%s|%s|%s' "$TS" "$METHOD" "$PATHNAME" \
+    | openssl dgst -sha256 -sign suit_private_key.pem \
+    | openssl base64 -A)
+  echo "=== $METHOD $PATHNAME ==="
+  echo "X-Timestamp: $TS"
+  echo "X-Signature: $SIG"
+  echo
+  echo "curl -X $METHOD \\"
+  echo "  -H 'Authorization: Bearer '\"\$EGAPRO_SUIT_API_KEY\" \\"
+  echo "  -H 'X-Timestamp: $TS' \\"
+  echo "  -H 'X-Signature: $SIG' \\"
+  echo "  '$BASE_URL$SUBPATH'"
+  echo
+done
+```
+
+> La signature porte sur le **pathname complet** reçu par le serveur (`/api/v1/...`), pas sur le sous-chemin relatif à `BASE_URL`.
+> Au-delà de la fenêtre anti-replay (cf. section Authentification), la requête renverra 403 — regénérer `TS` + `SIG`.
+
+## Générer pour une seule route
+
+```sh
+TS=$(date +%s)
+METHOD=GET
+PATHNAME=/api/v1/export/declarations
+SIG=$(printf '%s|%s|%s' "$TS" "$METHOD" "$PATHNAME" \
+  | openssl dgst -sha256 -sign suit_private_key.pem \
+  | openssl base64 -A)
+echo "X-Timestamp: $TS"
+echo "X-Signature: $SIG"
+```
+
+## Endpoints
+
+### 1. Exporter les déclarations
+
+```sh
+curl "$BASE_URL/export/declarations?date_begin=2026-01-01&date_end=2026-01-31" \
+  -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
+  -H "X-Timestamp: $TS" \
+  -H "X-Signature: $SIG"
+```
+
+- `date_begin` (obligatoire, `YYYY-MM-DD`) : date de début incluse
+- `date_end` (optionnel, `YYYY-MM-DD`) : date de fin exclue. Par défaut : `date_begin + 1 jour`
+
+### 2. Lister les fichiers d'une déclaration
+
+```sh
+curl "$BASE_URL/files?siren=123456789&year=2026" \
+  -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
+  -H "X-Timestamp: $TS" \
+  -H "X-Signature: $SIG"
+```
+
+- `siren` (9 chiffres) et `year` (`YYYY`) obligatoires
+
+### 3. Télécharger un fichier
+
+```sh
+curl -OJ "$BASE_URL/files/<fileId>" \
+  -H "Authorization: Bearer $EGAPRO_SUIT_API_KEY" \
+  -H "X-Timestamp: $TS" \
+  -H "X-Signature: $SIG"
+```
+
+Le `fileId` est renvoyé par l'endpoint `/files`.
+
+## Réponses d'erreur
+
+| Code | Cause |
+| --- | --- |
+| `400` | Paramètres invalides |
+| `401` | Clé API manquante ou invalide |
+| `403` | Signature manquante, invalide ou timestamp hors fenêtre |
+| `404` | Fichier introuvable |
+| `500` | Erreur serveur |
+
+## Documentation OpenAPI
+
+Disponible hors production (désactivée en prod) :
+
+- Swagger UI : `https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1/docs`
+- Spec JSON : `https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1/openapi.json`
+
+## Tester via Swagger UI
+
+Swagger UI ne signe pas les requêtes. Générer `X-Timestamp` + `X-Signature` en shell (bloc **Générer pour une seule route** ci-dessus, en adaptant `PATHNAME`), puis ouvrir Swagger :
+
+```sh
+open "https://egapro-alpha.ovh.fabrique.social.gouv.fr/api/v1/docs"
+```
+
+1. Coller `X-Timestamp`, `X-Signature` et `Authorization: Bearer $EGAPRO_SUIT_API_KEY` dans **Authorize**
+2. Lancer la requête via **Try it out**
+3. 403 → regénérer `TS` + `SIG` (fenêtre 30 s en preprod/prod, 30 j en dev/alpha)

packages/app/CLAUDE.md

@@ -201,7 +201,7 @@ Cascade: 1) DSFR classes → 2) DSFR utilities + CSS custom properties → 3) Sc
 
 ### DSFR runtime
 
-- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.js` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
+- **Assets**: copied to `public/dsfr/` by `scripts/copy-dsfr.mjs` (git-ignored, regenerated on `dev`/`build`). Never import DSFR CSS via webpack.
 - **JS**: loaded via `<Script type="module" strategy="beforeInteractive">`. Handles modals, dropdowns, theme toggle, keyboard navigation. Never duplicate this logic in React — use `data-fr-*` attributes.
 - **Dark mode**: `data-fr-scheme="system"` on `<html>`, cookie `fr-theme` read by inline script to avoid flash, `ThemeModal` for user toggle.
 - **Icons**: `fr-icon-{name}-{fill|line}` classes. Always `aria-hidden="true"` on decorative icons.

packages/app/package.json

@@ -4,7 +4,7 @@
 	"private": true,
 	"type": "module",
 	"scripts": {
-		"build": "node scripts/copy-dsfr.js && node scripts/copy-swagger-ui.mjs && next build",
+		"build": "node scripts/copy-dsfr.mjs && node scripts/copy-swagger-ui.mjs && next build",
 		"check": "biome check .",
 		"check:unsafe": "biome check --write --unsafe .",
 		"check:write": "biome check --write .",
@@ -16,7 +16,7 @@
 		"db:migrate": "drizzle-kit migrate",
 		"db:push": "drizzle-kit push",
 		"db:studio": "drizzle-kit studio",
-		"dev": "node scripts/copy-dsfr.js && node scripts/copy-swagger-ui.mjs && next dev --turbo",
+		"dev": "node scripts/copy-dsfr.mjs && node scripts/copy-swagger-ui.mjs && next dev --turbo",
 		"preview": "next build && next start",
 		"start": "next start",
 		"test": "vitest run",

packages/app/scripts/copy-dsfr.js packages/app/scripts/copy-dsfr.mjspackages/app/scripts/copy-dsfr.js renamed to packages/app/scripts/copy-dsfr.mjs

@@ -119,7 +119,7 @@ Par défaut, signe l'ensemble des routes SUIT connues en une seule exécution.
 Passer --path pour signer une route unique (custom).
 
 Usage :
-  node scripts/generate-suit-signature.js [options]
+  node scripts/generate-suit-signature.mjs [options]
 
 Options :
   --key-file <path>   Chemin vers la clé privée PEM