Ученик на странице «Мои уроки» может сохранить к себе страницу доски (PNG) и свою заметку
из прошлой онлайн-сессии. Копия хранится у ученика и переживает удаление сессии учителем.
- Миграция 060: student_materials (kind board/note/link/image, denormalized source_title,
source_session_id ON DELETE SET NULL).
- API /api/materials (GET/POST/DELETE, авторизация + проверка владельца) + helpers в js/api.js.
- my-lessons.html: кнопки «К себе» на доске и заметке (Whiteboard.exportBlob → /api/files → saveMaterial).
- Новая страница /my-materials (просмотр/открыть/скачать/удалить) + пункт сайдбара (ученик).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Учитель жмёт «Быстрый урок» в каталоге (theory.html) → урок создаётся в скрытом личном
курсе-контейнере и сразу открывается редактор. Возни с курсом нет.
- Миграция 059: courses.is_personal (ADD COLUMN).
- POST /api/lessons/quick (teacher/admin): get-or-create личный контейнер (is_personal=1,
один на учителя, опубликован) + создаёт урок, возвращает lessonId.
- Каталог курсов скрывает личные контейнеры от всех, кроме владельца (courseController.list).
- Свои быстрые уроки учитель видит как курс «Мои материалы» (открыв его в каталоге).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Прошлый гард не работал: dragstart срабатывает на самой карточке (draggable=true), а не на
svg, поэтому e.target.closest(.svgdraw-host) был null. Теперь на pointerdown снимаем
draggable с ближайшего предка-карточки и возвращаем на pointerup — холст рисует, а не тащит блок.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Переведён #admin-command-center с чужого «cobalt / Hanken Grotesk / JetBrains
Mono» макета на токены ls.css: палитра violet #9B5DE5 / cyan #06D6E0, шрифты
Unbounded (заголовки/числа) + Manrope (текст), карточки-стекло r=20px,
градиентные акценты (--grad-1), мягкие тени системы. HTML-структура, данные и
вся JS-логика не изменены — только стили.
Блок-карточка урока draggable=true перехватывала зажатие мыши на холсте → тащился весь
блок, а не рисовалась линия. Теперь dragstart внутри .svgdraw-host отменяется, на холсте
заглушены нативный drag и выделение (user-select/-webkit-user-drag:none).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Лёгкий векторный редактор frontend/js/svg-draw.js (перо со сглаживанием, линия,
прямоугольник, эллипс, стрелка, текст, цвет/толщина/заливка, выбор/перемещение/удаление,
undo/redo, очистка) → выдаёт чистый <svg>. Хранится inline в данных блока, переоткрывается
для дорисовки.
- Новый тип блока svg-draw: палитра «Рисунок», редактор (монтирование виджета + подпись),
превью и студенческий рендер (lesson.html) — санитизированный inline-SVG, адаптивный.
- Санитайзер frontend/js/svg-sanitize.js (UMD, общий клиент/сервер): whitelist тегов/атрибутов,
вырезает script/foreignObject/style/image/a, on*=, href, javascript:. Без зависимостей.
- Сервер (lessonController): svg-draw в VALID_TYPES + очистка data.svg при сохранении.
- Переиспользуемо: тот же виджет пригоден для флешкарт и фигур генератора задач.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Обзор теперь показывает и итоги за всё время (Пользователей, Тестов пройдено, Средний
результат) и средний результат по предметам за всё время — данные грузятся из
adminGetStats параллельно с обзором. Дублей нет: Обзор был про 24ч и контент.
Убрано полностью: nav-кнопка «Статистика», панель #tab-stats, маршрут stats в
ROUTE_TO_SECTION, подключение и файл sections/stats.js. #stats-хэш падает на #overview.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
errorRate приходит из API уже в процентах (SUM(is_correct=0)*100/COUNT в analyticsController),
а фронт умножал ещё раз на 100 → 4130%. Убрал лишнее ×100; заодно корректно работают пороги
цвета (>=35 / >=60).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Раньше статические страницы алгебры/геометрии игнорировали location.hash (init всегда
goTo('p10')), а textbook-tracker матчил только #pN через .para-pill — поэтому ссылки
exam-prep вида #sec-pN вели на главу, но не на §.
- server.js: /textbook/:slug всегда инжектит хелпер (и в обычном режиме, и в embed),
_renderEmbed → _renderTextbook (кэш по filePath|mode, заголовки no-store сохранены).
- frontend/js/textbook-deeplink.js: по #sec-pN / #pN кликает .psel-card[data-id]
(фолбэк .para-pill[data-para] → goTo → scrollIntoView). Универсально для статических
и движковых страниц, идемпотентно, не конфликтует с textbook-tracker.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- classify(): bestScore стартует с 0 (нужно совпадение>0), иначе берётся явный fallback
(последнее правило), а не первое. Чинит свал theory-statements→§15 и word-problems→проценты.
- optsText(): анализ текста вариантов ответа (формат пар [label, html]) — theory-statements
размечаются по содержанию утверждений.
- alg-word-problems fallback → algebra-7-ch3 §16 (задачи уравнением), не проценты.
- Таксономия §: перенесена с gitignore-пути data/ на отслеживаемый
backend/scripts/exam-textbook-sections.json + генератор gen-exam-textbook-sections.js.
- Результат: 784/800 (98%) размечено, спреды по подтемам корректны.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Проверяет: колонки в схеме, >= 90% задач размечены, topic_ref.paragraph
числовой тип, slug-значения из известных префиксов, fallback в exam_topics.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Детерминированная эвристика: subtopic → кандидатные §, keyword-scoring по тексту.
Карта subtopic→primary § по PLAN.md. Флаги: --exam, --dry-run, --report.
Результат: 800 задач math9 размечены без единого null (algebra-8-ch2#8 и др.).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Модалка индивидуальных прав пользователя (с кнопкой «врем.» — выдать право на
срок, B8) открывалась только для u.role==='teacher'. Временные/индивидуальные
права нужны и ученикам (магазин, лаба, тесты на срок). Показываем «Права» всем,
кроме admin (он и так байпасит все права).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Клиент: listRoles/createRole/updateRoleDef/deleteRole/rolePermissions. Во вкладке
«Доступ · роли» — блок «Конструктор ролей»: создать роль (имя-идентификатор +
название + базовые роли чекбоксами), список кастомных ролей, «Настроить права»
(тогглы по группам через getRolePermissions + setPermission под именем роли),
«Удалить» (возврат пользователей на базу). В списке пользователей выпадающий
список ролей теперь включает optgroup «Кастомные роли» (выбор по custom_role);
listUsers отдаёт custom_role. Phase C (произвольные роли) завершена на ветке.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
rolesController + routes/roles (admin, inline guards): GET список (с числом
пользователей), POST создать кастомную роль (имя-идентификатор + метка + base_roles;
засев прав из функциональной базы), PUT изменить, DELETE удалить (пользователей
возвращает на базу), GET /:name/permissions (эффективная карта база+оверлей + defs).
setPermission теперь принимает кастомные роли (ключ валидируется по базе, хранится
под именем роли). Смонтировано в server.js + тест-харнесс. Тест roles-api 5/5.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Миграция 056: снят CHECK с role_permissions.role (пересборка) → можно хранить
набор прав произвольной кастомной роли. isEnabled(uid,permRole,baseRole,key):
user override → role_permissions[customRole] → фолбэк role_permissions[base] →
дефолт реестра(base). requirePermission передаёт permRole=customRole||role.
getMyPermissions/getUserPermissions: roleMap = база + наложение кастомной роли.
Тест C-3: права кастомной роли перекрывают базу, фолбэк на базу. custom-roles 8/8,
permissions 17/17, backend без регрессий.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Phase C, Stage C-1 (ветка feature/custom-roles): таблица roles (name, label,
base_roles JSON, is_builtin) + засев встроенных. auth.effectiveRoles(role) —
кастомная роль наследует base_roles (какие встроенные гейты проходит); встроенные
— быстрый путь без БД. requireRole() теперь проверяет пересечение allowed с
effectiveRoles → 111 существующих гейтов не задеты (встроенные ведут себя как
прежде). Дизайн: PHASE_C_DESIGN.md. Тест effectiveRoles 5/5; полный backend pass.
ВАЖНО (обнаружено): users.role в канон-схеме имеет CHECK (admin/teacher/student/
free_student), безопасно пересобрать users (FK от многих таблиц, миграции в txn)
нельзя → присвоение кастомной роли пользователю пойдёт через users.custom_role (C-2).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Миграция 053: user_permissions.expires_at (NULL = бессрочно). Резолвер isEnabled
+ /me + /users/:id игнорируют просроченные оверрайды (наследуют роль); seedDefaults
чистит просроченные строки. setUserPermission принимает days → выдаёт право на
срок (datetime('now','+N days')). API отдаёт expiresAt. Клиент: setUserPermission(...,days).
В модалке прав пользователя — бейдж «до ДАТА» + кнопка «врем.» (выдать на N дней).
Тест: срок хранится/отдаётся, просроченное игнорируется и вычищается. Backend pass.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
PRESETS (student): «Полный доступ», «Режим фокуса» (без магазина/испытаний),
«Ограниченный» (+ без лаборатории), «Сбросить к стандарту роли». GET
/api/permissions/presets + POST /api/permissions/class/:id/preset (admin).
Рефактор: общий applyPermsToClass() (карта key→1/0/inherit) — его используют и
bulk, и preset. В блоке «Массово по классу» — кнопки пресетов (с подтверждением).
Тест: список + применение focus/reset + валидация. Backend pass (3 baseline-Auth).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
POST /api/permissions/class/:id/bulk { permission, enabled } (admin, явный
requireRole) — выставляет user_permissions всем ученикам класса (1/0/null=сброс),
точечный token_version bump каждому. Валидация: только студенческие ключи.
Клиент LS.setClassPermission. В админке «Доступ · роли» — блок «Массово по
классу»: выбор класса → у каждого права «включить/выключить всем / сбросить».
Тест: оверрайд всем + сброс + отклонение teacher-ключа. Backend 221 pass.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Таблица заменена на сетку карточек, сгруппированных по типам
(Рамки/Титулы/Фоны/Эффекты) с заголовками и счётчиками. Каждая
карточка показывает настоящий вид товара:
- frame → кольцо аватара по data.css
- background → .bg-preview.bg-<slug> (тот же CSS, что у клиента)
- title → текст титула в его цвете (data.text/color)
- effect → анимация pulse / иконка-фоллбэк
Фильтр по типу, поиск и счётчик сохранены; неактивные товары
притушены; удаление компактной иконкой.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
registry: карта GROUP (Вопросы / Класс и ученики / Библиотека / Курсы и шаблоны /
Геймификация / Контент / Тесты и активность / Профиль), проброшена в byRole.group.
permissions.js: вкладка «Доступ · роли» рендерит права секциями по группам, у
каждой — «включить все / выключить все» (с подтверждением, если в группе есть
requireConfirmOff). Карточка вынесена в permCard(). Тест: definitions содержат group.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
requirePermission читает права из БД на каждый запрос → серверное применение
живое. Прежний bump token_version при role-level изменении разлогинивал ВСЕХ
пользователей роли из-за одного тумблера. Убрали его: изменение применяется
сразу на сервере, клиент подхватит при следующем /permissions/me. User-level
bump оставлен (точечно одному пользователю — целевое обновление, не массовое).
Тест 3 обновлён: role-level НЕ бампает token_version + значение сохраняется.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
GET /api/permissions/log (admin-only) — последние изменения ролевых прав (или
?user_id= для личных оверрайдов) из admin_audit_log; читаемый текст («включил
«X» для роли «учитель»») с резолвом меток через registry. Клиент LS.permissionsLog.
Вкладка «Доступ · роли»: блок «История изменений прав ролей» с кнопкой «Показать».
Тест: admin видит записи, не-админу 403. permissions 13/13.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- 4 крупные карточки статистики → компактная строка stat-пиллов
- тулбар: фильтр по типу + поиск по названию + счётчик (N из M)
- таблица: иконка-чип по типу + название с описанием в одной ячейке,
цветные бейджи типов, колонка ID убрана (id ушёл в подпись)
- состояния «Нет товаров» / «Ничего не найдено»
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Тест permissions-registry: каждый ключ из requirePermission/perm('…') в backend
есть в registry (ловит опечатки/дрейф; perm() падал на старте, сырой
requirePermission — нет). Заодно логирует ключи реестра, не используемые в
requirePermission (информативно — часть гейтится на клиенте через /me).
Метки theory.access/simulations.access переформулированы: «… доступен роли»
(видимость конкретного контента — по классам в «Доступ · контент»).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
registry: поле requires (questions.delete→manage, templates.public→manage,
courses.interactive→manage, simulations.quiz→access), проброшено в byRole.
auth.requirePermission: вынесен isEnabled(); право = own AND все requires
(дочернее не работает без родителя). /me и /users/🆔 effective с учётом
requires + requires в ответе. UI permissions.js: каскад — дочернее с
невыполненной зависимостью неактивно (тумблер заблокирован + «Требует: …»).
Тест зависимости. План: plans/permissions-rework/PLAN.md. Backend 216 pass.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Инлайн-панель формы внизу страницы заменена на модалку через LS.modal:
- shopAdminCreateItem/EditItem открывают окно openItemModal (create/edit)
- валидация: обязательное название + проверка JSON в поле «Данные»
- блокировка кнопки на время сохранения, ошибки через m.setError
- удалены инлайн-форма из admin.html и неактуальные
shopAdminSaveItem/shopAdminCancelForm/showShopForm + стейт
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Начисление монет осталось в «Пользователях» (быстрое действие quickAwardCoins)
и во вкладке «Геймификация». Из магазина удалены: HTML-блок «Начислить монеты»,
функции shopSearchUser/shopPickUser/shopAdminAwardCoins, их window-экспорты и
неиспользуемые стейт-переменные. Эндпоинт /shop/admin/award-coins не тронут —
им пользуется quickAwardCoins.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- shopAdminCreateItem/EditItem открывали форму под таблицей на 51 строку —
вне экрана, выглядело как «кнопки не работают». Добавлен showShopForm():
scrollIntoView + фокус в поле названия.
- В выпадающем списке типов «Тема» (theme) не поддерживается бэкендом
(валидация POST: frame/title/effect/background) → создание падало с 400.
Заменён на рабочий «Фон» (background); добавлена подпись в typeLabels.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
«Доступ к учебникам» → «Доступ · контент» (видимость контента по классам),
«Права доступа» → «Доступ · роли» (способности ролей), поставлены рядом.
Устраняет путаницу двух похоже названных вкладок (P0 из ревью). Полное слияние
в одну вкладку с под-вкладками — возможно позже (структурно крупнее).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
История: GET /api/access/log (admin-only) — кто/когда открыл/закрыл/сбросил
правило для контента (из admin_audit_log, имена классов/учеников резолвятся).
Клиент LS.accessLog; в режиме «По контенту» — кнопка «История изменений».
Пресет: в режиме «По классу» — «Скопировать доступ из класса [выбор]» (дополняет
текущие правила открытыми правилами класса-источника). Тест: история (admin
видит запись, учителю 403). content-access 13/13.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
В CSS есть только классы .success/.error/.info/.warn, но код принимал любой
type. 7 вызовов LS.toast(...,'warning') и 1 'ok' давали класс без фонового
градиента → белый текст на светлой странице был невидим. Добавлен alias-map
(warning→warn, ok→success, danger/err/fail→error) + fallback неизвестных в
'info', чтобы у toast всегда был фон.
Панель кнопок по предметам: один клик открывает выбранному классу весь контент
этого предмета (учебники/экзамены/симуляции/курсы вместе). Нормализация поля
предмета (subject|subject_slug), метки через SUBJ_LABEL. Чистый фронтенд на
существующем accSetRule. Закрывает находку ревью «нет операции открыть весь предмет».
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
select использовал var(--bg-2,#1a1a2e) — переменная не определена в светлой
теме, поэтому фон падал на тёмно-синий, а текст оставался тёмным (--text):
список сливался с фоном. Заменено на белый фон + явные цвета option.
Клик по названию контента в матрице открывает/закрывает его сразу ВСЕМ классам;
клик по имени класса (заголовок столбца) — открывает/закрывает ВЕСЬ контент этому
классу. Массовое закрытие спрашивает подтверждение; перерисовывается только tbody.
Использует существующий accSetRule (без новых эндпоинтов).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Миграция 052: мост «открыть все опубликованные курсы всем существующим классам»
(тип 'course' уже в CHECK из 051). courseController.list/search фильтруют курсы
для НЕпривилегированных по allowedRefs(uid,'course') (content_ref = courses.id как
TEXT); admin/teacher — все. /api/access/catalog отдаёт курсы; CONTENT_TYPES в
админ-UI = textbook,exam,sim,course → курсы управляются во всех режимах «Доступ».
Тест course-access 4/4 (allowlist+класс+privileged+каталог). Полный набор: 213 pass.
ВАЖНО: новый опубликованный курс по умолчанию закрыт (allowlist) — открыть классам
в админке. Мост сохранил видимость текущих опубликованных курсов у существующих
классов. class_courses остаётся для назначений с дедлайном (сверх видимости).
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Бэкенд /api/access обобщён на тип 'sim': catalog отдаёт симуляции (lab_sims),
summary/matrix/class — карты по всем типам. Админ-секция «Доступ» теперь
показывает «Симуляции» во всех трёх режимах (по контенту / по классу / матрица)
+ поиск; helpers (bucket/keyName/itemsOf) обобщены через карты типов
(CONTENT_TYPES=textbook,exam,sim; course зарезервирован). Теперь админ/учитель
могут открывать/закрывать конкретные симуляции классам и ученикам — закрыт UX-
разрыв из 1a (новые классы без UI-управления). Тест: каталог включает sims; 210 pass.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Миграция 051: расширяет content_access.content_type на 'course'/'sim' (пересборка
таблицы — SQLite не умеет ALTER CHECK) + мост «открыть все включённые симуляции
всем существующим классам» → текущее поведение не меняется. GET /api/lab/sims
теперь фильтрует список для НЕпривилегированных по allowedRefs(uid,'sim'); admin/
teacher видят все. Ролевой simulations.access остаётся «модуль вкл.» (добавочно).
Тесты: lab-access (4/4, allowlist+класс+личное), lab-sims переведён на admin для
проверки полного каталога (видимость ученика — в lab-access). /api/lab в харнессе.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Фаза 1 — модель ДОБАВОЧНАЯ: ролевой simulations.access = «модуль включён для
роли», видимость конкретных sim/курсов — дополнительно по классам через
content_access (roleHasModule AND classAllowsItem). Миграция-мост открывает
всё всем классам → поведение не меняется.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Режим «По контенту»: поиск по названию в левой колонке (обновляет только список,
фокус сохраняется) + подзаголовки по предмету (Математика/Физика/…). У раскрытого
класса рядом с tri-state каждого ученика — бейдж итогового доступа «видит/не видит
· лично|по классу|по умолч.» (считается клиентски из загруженных правил) — снимает
путаницу «наследовать/открыт/закрыт».
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Maxim Dolgolyov