fix(share): Copilotレビュー対応 — スナップショットのステップ変更禁止・PW付きしおりの自動publish除外 (SOR-20)

Sora4431 · claude · Sora4431 · commit fecd3a5f48f0 · 2026-04-09T23:43:31.000+09:00
- steps POST/PUT/DELETE: source_itinerary_id があるスナップショットへのステップ変更を 403 で拒否
- PATCH /visibility: パスワード付きしおりは自動publishをスキップ（shioriトークン不要な範囲のみ自動化）

Co-Authored-By: Claude Sonnet 4.6 &lt;noreply@anthropic.com&gt;
diff --git a/apps/api/src/routes/steps.ts b/apps/api/src/routes/steps.ts
@@ -93,6 +93,10 @@ steps.post('/', async (c) => {
     return c.json({ success: false, error: { code: 'NOT_FOUND', message: 'Itinerary not found' } }, 404);
   }
 
+  if (itinerary.source_itinerary_id) {
+    return c.json({ success: false, error: { code: 'FORBIDDEN', message: 'Cannot modify steps of a shared snapshot' } }, 403);
+  }
+
   if (itinerary.password) {
     const token = extractBearerToken(c.req.header('Authorization'));
     const payload = token ? await verifyToken(token, c.env.JWT_SECRET) : null;
@@ -132,6 +136,9 @@ steps.put('/:stepId', async (c) => {
   if (!itinerary) {
     return c.json({ success: false, error: { code: 'NOT_FOUND', message: 'Itinerary not found' } }, 404);
   }
+  if (itinerary.source_itinerary_id) {
+    return c.json({ success: false, error: { code: 'FORBIDDEN', message: 'Cannot modify steps of a shared snapshot' } }, 403);
+  }
   if (itinerary.password) {
     const token = extractBearerToken(c.req.header('Authorization'));
     const payload = token ? await verifyToken(token, c.env.JWT_SECRET) : null;
@@ -180,6 +187,9 @@ steps.delete('/:stepId', async (c) => {
   if (!itinerary) {
     return c.json({ success: false, error: { code: 'NOT_FOUND', message: 'Itinerary not found' } }, 404);
   }
+  if (itinerary.source_itinerary_id) {
+    return c.json({ success: false, error: { code: 'FORBIDDEN', message: 'Cannot modify steps of a shared snapshot' } }, 403);
+  }
   if (itinerary.password) {
     const token = extractBearerToken(c.req.header('Authorization'));
     const payload = token ? await verifyToken(token, c.env.JWT_SECRET) : null;
diff --git a/apps/api/src/routes/users.ts b/apps/api/src/routes/users.ts
@@ -210,13 +210,17 @@ users.patch('/me/bookmarks/:itineraryId/visibility', userAuthMiddleware, async (
     return c.json({ success: false, error: { code: 'NOT_FOUND', message: 'Bookmark not found' } }, 404);
   }
 
-  // 公開にした場合、共有スナップショットを自動生成してブックマークに追加する
+  // 公開にした場合、パスワードなしのしおりのみ共有スナップショットを自動生成する
+  // パスワード付きしおりはしおりトークンが必要なため、ここでは自動生成しない
   if (input.is_visible) {
     try {
       const itineraryService = new ItineraryService(c.env.DB);
-      const snapshot = await itineraryService.publish(itineraryId);
-      await service.syncBookmarks(userId, [snapshot.id]);
-      await service.updateBookmarkVisibility(userId, snapshot.id, true);
+      const itinerary = await itineraryService.get(itineraryId);
+      if (itinerary && !itinerary.password) {
+        const snapshot = await itineraryService.publish(itineraryId);
+        await service.syncBookmarks(userId, [snapshot.id]);
+        await service.updateBookmarkVisibility(userId, snapshot.id, true);
+      }
     } catch {
       // 非致命的: 元しおりの公開状態は変更済み、スナップショット生成は後から同期可能
     }
