Rechnungsstellung: wofür der Bereich im Projektkontext gedacht ist.

6 saubere _all/scoped-Paare mit API+RLS-Schicht

view, create, edit, delete, generate_pdf und manage_chains folgen jeweils dem etablierten Pattern. RLS auf invoices, invoice_items, invoice_attachments und invoice_chains gegated jeweils per OR-Klausel über _all + scoped. API-Endpoints prüfen beide Permission-Keys vor dem DB-Zugriff. Klassisches Defense-in-Depth.

• pages/api/invoices-pro/index.ts:38-43 (view-Pre-Check) + :129-134 (create)
• pages/api/invoices-pro/[id]/index.ts:58-63, :107-112, :203-208
• RLS: invoice_items, invoices, invoice_attachments, invoice_chains

⚡ MERKWÜRDIGgenerate_pdf hat KEINEN direkten API-Pre-Check

Während alle anderen Actions im Code via can_perform_action geprüft werden, taucht generate_pdf nirgends in TS-Files auf. Die Permission gates ausschliesslich über RLS-SELECT-Policies invoices_pro_pdf_project und _all. Wahrscheinlich Service-Role-Render mit RLS als einzige Hürde. Wer view_invoices_pro hat aber generate_pdf nicht, sieht den Invoice-Record nicht — der PDF-Renderer bekommt leere Daten und erzeugt eine kaputte/leere PDF, statt mit 403 zu antworten.

• RLS: public.invoices :: invoices_pro_pdf_all + invoices_pro_pdf_project

manage_chains: eine Permission deckt INSERT+UPDATE+DELETE

Anders als bei den invoice_pro-Actions (wo create/edit/delete getrennt sind), regiert manage_chains alle drei Mutations auf invoice_chains. Pragmatisch — Chains werden typischerweise von der gleichen Person verwaltet — aber asymmetrisch zur sonstigen Granularität des Moduls.

manage_settings: Trigger-enforced + Stage-1-Coupling

manage_settings ist Trigger-enforced via check_invoice_settings_permission RPC (boolean) auf invoice_settings. Plus die bestehende Stage-1-Regel: setzt view_invoices_pro voraus (Settings sind im Invoices-Pro-Bereich erreichbar).

Stage-1-Regeln (bestehend)

manage_settings → view_invoices_pro. delete_invoice_pro / _all → edit_invoice_pro / _all (generic edit-before-delete).