# Environment-Konfiguration für lokale Entwicklung
# Diese Datei sollte in .env umbenannt werden und nicht in Git committet werden

# Node.js Environment
NODE_ENV=development

# Server-Konfiguration
PORT=3100
NUXT_PUBLIC_BASE_URL=http://localhost:3100

# SMTP-Konfiguration für E-Mail-Versand (nur für lokale Tests)
SMTP_HOST=smtp.gmail.com
SMTP_PORT=587
SMTP_USER=tsschulz@tsschulz.de
SMTP_PASS=your_app_password_here

# Alternative für GMX:
# SMTP_HOST=mail.gmx.net
# SMTP_PORT=587

# JWT Secret für lokale Entwicklung
JWT_SECRET=local_development_secret_key_change_in_production

# Verschlüsselungsschlüssel für persönliche Daten (MUSS in Produktion geändert werden!)
ENCRYPTION_KEY=local_development_encryption_key_change_in_production

# Datenbank/Datei-Pfade
DATA_PATH=server/data

# Debug-Modi
DEBUG=true
VERBOSE_LOGGING=true

# Cookies (Security Hardening)
# - In Produktion sollte COOKIE_SECURE=true sein (Browser sendet Cookie nur über HTTPS)
# - SameSite=Strict ist am restriktivsten (kann iFrame/3rd-party Flows einschränken)
COOKIE_SECURE=
COOKIE_SAMESITE=

# Security Headers / CSP
# - CSP_ENABLED: aktiviert CSP-Header (empfohlen zuerst im Report-Only Modus testen)
# - CSP_REPORT_ONLY: wenn true (Default), setzt Content-Security-Policy-Report-Only statt CSP enforcing
# - CSP_VALUE: optional eigene Policy
CSP_ENABLED=false
CSP_REPORT_ONLY=true
CSP_VALUE=

# HaveIBeenPwned (Pwned Passwords, k-Anonymity)
HIBP_ENABLED=false
HIBP_USER_AGENT=harheimertc
HIBP_TIMEOUT_MS=4000
HIBP_CACHE_TTL_MS=21600000
# Wenn true: bei HIBP-Fehlern (Timeout/5xx) wird Registrierung/Passwortwechsel abgelehnt
HIBP_FAIL_CLOSED=false

# Audit Logging (JSONL unter server/data/audit.log.jsonl)
AUDIT_LOG_ENABLED=true

# WebAuthn / Passkeys
# Für Produktion unbedingt setzen:
# - WEBAUTHN_ORIGIN z.B. https://harheimertc.tsschulz.de
# - WEBAUTHN_RP_ID z.B. harheimertc.tsschulz.de
# - WEBAUTHN_RP_NAME frei wählbar (Anzeige im Browser)
WEBAUTHN_ORIGIN=
WEBAUTHN_RP_ID=
WEBAUTHN_RP_NAME=Harheimer TC
# Optional: erzwingt User Verification (z.B. biometrisch/PIN am Gerät)
WEBAUTHN_REQUIRE_UV=false

# Passkey-Recovery (E-Mail-Link)
# TTL in Minuten (Standard: 30)
PASSKEY_RECOVERY_TTL_MIN=30