Website-Dokumentation

Zentrale Middleware-Datei für alle Express-Routes. Einbindung: require('./security').init(app) vor allen Route-Definitionen.

Sobald das Ranking-/Punkte-System personenbezogene Daten verarbeitet (Strava OAuth, Aktivitäten mit GPS, Nutzerprofile), gelten strenge DSGVO-Anforderungen. Diese müssen vor dem Go-Live umgesetzt sein:

• Strava API Agreement: Vor OAuth-Nutzung akzeptieren – verbietet u.a. Daten-Weitergabe und dauerhafte GPS-Speicherung
• „Powered by Strava“: Logo-Badge Pflicht auf allen Seiten die Strava-Daten anzeigen
• Rate-Limits: 100 Requests / 15 Min, 1000 / Tag (pro App). Webhook bevorzugen statt Polling
• Deauthorization-Webhook: Strava kann POST /api/strava/deauth senden wenn Nutzer Zugriff widerruft → alle Daten löschen
• Refresh-Token-Flow: Access-Token läuft nach 6h ab, Refresh-Token erneuern und sicher speichern

Pflichtdokumentation für alle Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis muss aktuell gehalten und auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

UNIQUE-Constraint auf (event_slug, user_id) – verhindert doppelte Anmeldung.

Erfolgreiche Communities (Rapha RCC, etc.) nutzen echte Zitate von Mitgliedern als Social Proof. Besucher vertrauen Erfahrungsberichten von echten Menschen mehr als Marketing-Texten. Aktuell fehlt dieser Vertrauensfaktor auf der mag.biking Startseite komplett.

1. Neue Section auf index.html zwischen Galerie und Kontakt
2. 2–4 Zitat-Karten mit Foto, Name, Rolle (z.B. „Mitglied seit 2025") und Zitat
3. Admin-Editor: Testimonials verwalten (Bild, Name, Text, sichtbar/unsichtbar)
4. Schema.org: Review Markup für jedes Testimonial

Klein – HTML-Section, CSS-Karten, Admin-Editor nach bestehendem Pattern (wie Sponsors). Kein Backend nötig.

Fast jede erfolgreiche Community hat einen Newsletter. E-Mail ist der direkteste Kanal zu den Mitgliedern – unabhängig von Social-Media-Algorithmen. Aktuell gibt es keinen Weg, Besucher regelmäßig zu erreichen außer über Instagram und Strava.

1. Einfaches E-Mail-Eingabefeld im Footer oder eigene Section
2. Optionen: Eigenhosting auf Raspberry Pi (DSGVO, Synergien mit Kontaktformular) oder Drittanbieter (Buttondown, Mailchimp Free)
3. Double-Opt-In Pflicht (DSGVO)
4. Inhalte: Wöchentlicher Ride-Reminder, Event-Ankündigungen, Blog-Highlights

Einwilligung nötig, Abmeldelink in jeder Mail, Verarbeitungsverzeichnis führen. Bei Self-Hosting auf Pi: Daten bleiben in eigener Hand.

Im Admin gibt es unter 📨 Newsletter bereits einen Composer zur Zusammenstellung. Ablauf:

1. Seit dem letzten Versand neu hinzugekommene Events, Blog-Posts und Rideouts werden automatisch vorgeschlagen und können per Checkbox ausgewählt werden.
2. Featured Events lassen sich als Opt-In erneut einbinden, selbst wenn sie nicht neu sind.
3. Betreff, Intro-Text, CTA (Label + URL) und Outro-Text werden im Block „Zusammenstellung & Versand“ eingegeben.
4. Über Vorschau öffnet sich ein Modal mit der gerenderten HTML-Mail in einem Iframe. Mit HTML kopieren landet der komplette Quelltext in der Zwischenablage und kann in den Mail-Client eingefügt werden.
5. Als gesendet markieren schreibt Zeitstempel + Betreff + Item-Anzahl in den Verlauf (letzte 10 werden angezeigt) und setzt die Auswahl zurück – Betreff / Intro / Outro bleiben für schnelle Wiederverwendung erhalten.

Noch nicht enthalten: automatischer Versand, Abonnenten-Opt-In auf der öffentlichen Website, Double-Opt-In, Unsubscribe-Flow. Phase 1 ist bewusst export-only.

Premium-Communities (Rapha, Canyon) nutzen cinematic Video-Backgrounds oder dynamische Bild-Slider im Hero. Der erste Eindruck entscheidet – aktuell ist der Hero statisch mit einem einzelnen Bild. Ein Countdown zum nächsten Event erzeugt Dringlichkeit.

A) Video-Background: Kurzes Loop-Video (10–15s) von Gruppenfahrten, Autoplay muted, Fallback auf Bild für Mobile/langsame Verbindung.
B) Bild-Slider: 3–5 Bilder mit Crossfade, verschiedene Event-Eindrücke.
C) Event-Countdown: Nächstes Event mit Titel, Datum und Countdown-Timer prominent im Hero.
Empfehlung: C zuerst (einfach, dynamisch aus Admin-Daten), dann B oder A.

Countdown: Klein – JS liest nächstes Event-Datum aus content-data.js, Anzeige im Hero.
Slider: Mittel – Bilder im Admin verwalten, CSS-Transition, Touch-Support.
Video: Mittel – Video-Hosting (GitHub LFS oder extern), Performance-Optimierung.

Der Blog existiert, aber die Startseite zeigt nur einen Beitrag als Vorschau. Erfolgreiche Communities leben von regelmäßigen Ride-Reports („Wir waren dort") und Mitglieder-Spotlights („Wer fährt bei uns mit?"). Das erzeugt Zugehörigkeit und motiviert Neue mitzumachen.

Umgesetzt: Blog-Detail-Seite mit Hero-Bild, Bild-Text-Abschnitten, GPX-Höhenprofilen pro Sektion, BlogPosting-Schema, Likes-System (js/likes.js + Pi-API). Reihenfolge im Admin bestimmt öffentliche Reihenfolge.

Noch offen: Blog-Preview auf Startseite erweitern (aktuell nur 1 Karte → 2–3), Kategorie-Filter auf blog.html, expliziter Kartentyp „Ride-Report“ / „Mitglieder-Spotlight“ als Admin-Dropdown. Blog-Detail-Karten-Funktion (mapShow-Flag pro GPX) ist skizziert aber noch nicht implementiert.

Eine Karte zeigt sofort wo die Community aktiv ist – Startpunkte der Rideouts, Event-Locations, Streckenverläufe. Besonders für Neue hilft das bei der Orientierung. Komoot und Strava zeigen Routen, aber keine eigene Community-Übersicht.

• Leaflet.js 1.9.4 vendored unter vendor/leaflet/, CartoDB Voyager Tiles (passt zum Light-Theme)
• map.html – eigene Subseite, eingebunden per CTA hinter der Galerie auf index.html
• Rideout-Treffpunkt-Karte auf app.html (PWA): Marker für Wutöschingen + Jestetten mit Hover-Popup „Nächster Ride“
• Event-Marker + GPX-Tracks auf map.html – Start-Koordinaten werden via MagBiking.Map.hydrateGpx() aus den GPX-Dateien extrahiert, Track-Polyline optional
• CSP erweitert auf https://*.basemaps.cartocdn.com in allen betroffenen Seiten
• Zentrales Modul: js/mini-map.js (MagBiking.Map.renderFull(), hydrateGpx()) – von map.html, app.html, events.html, event-detail.html, blog-detail.html wiederverwendet

Komoot/Strava-Embed für einzelne Routen (optional).
✅ Treffpunkt-Koordinaten (2026-04-15): Admin-UI existiert unter „Karte → Rideout-Treffpunkte“ (map.rideoutLocations). app.js liest Standorte jetzt dynamisch aus content-data.js statt hardcodiert.

Entscheidung: Self-hosted Lösung gewählt (Pi-API mit JWT Auth + SQLite statt Supabase Cloud).

Features:
• Login: E-Mail + Passwort, Magic Link, Strava OAuth
• Profil: Name, Bike, Foto, Lieblingsstrecke, Strava-Link, Bio
• Mitglieder-Übersicht: Steckbrief-Karten aller öffentlichen Profile
• Event-Anmeldung: Direkt auf Event-Detail-Seite mit Teilnehmerliste
• Nav-Integration: Login-Button / Avatar-Dropdown auf allen Seiten

login.html – Login/Registrier-Seite
profil.html – Eigenes Profil bearbeiten
mitglieder.html – Community-Übersicht (nur eingeloggt)
js/supabase-client.js – API-Client (Pi-API REST + JWT Token-Handling)
js/supabase-auth.js – Auth-State, Login/Logout, Nav-UI
js/login-page.js – Login-Seite UI-Logik
js/profile.js – Profil laden/speichern, Avatar-Upload
js/members.js – Mitglieder-Grid
js/event-registration.js – Anmeldung + Teilnehmerliste
css/auth.css – Alle Auth/Profil/Member-Styles
pi-api/auth-route.js – JWT Auth (Register, Login, Magic Link, Strava OAuth)
pi-api/members-route.js – Profil-CRUD, Mitglieder-Liste, Avatar-Upload, Event-Registrierung

1. Auf dem Pi: npm install bcryptjs jsonwebtoken im pi-api/-Ordner
2. In pi-api/.env folgende Variablen setzen:
 JWT_SECRET=<zufälliger-string-32-zeichen>
 SITE_URL=https://mag-biking.com
 API_URL=https://api.mag-biking.com
3. Optional: Strava Developer App erstellen, Callback: https://api.mag-biking.com/api/auth/strava/callback
 STRAVA_CLIENT_ID=<id>
 STRAVA_CLIENT_SECRET=<secret>
4. Pi-API neustarten: Tabellen werden automatisch erstellt
5. SMTP-Variablen (bereits für Kontaktformular vorhanden) werden für Magic Links und Bestätigungs-Mails mitgenutzt

Komplett self-hosted: Alle Seiten, JS-Module, CSS, Datenschutz-Texte und Backend-API (Pi-API) sind implementiert.
Backend: JWT-Auth mit bcryptjs/jsonwebtoken, SQLite-Datenbank, Strava OAuth, Magic Link via SMTP.
Kein Cloud-Dienst: Supabase wurde durch lokale Pi-API ersetzt. Daten bleiben auf dem Raspberry Pi.

Gamification ist ein wirksamer Motivator – Strava macht es vor. Ein eigenes Ranking im Mitglieder-Bereich erzeugt Bindung zur mag.biking-Plattform und macht den Unterschied zwischen „einsam fahren“ und „Teil der Community sein“ sichtbar. Stempelbuch/Sticker-Mechanik aus der analogen Welt (Wandernadel, Brevet-Karten) überträgt sich 1:1 auf digitale Badges.

Die Trennung ist wichtig: Wer nur solo fährt, sieht seine Zahlen – wird aber im Community-Ranking nicht belohnt. Das schafft Anreiz, bei Rideouts dabei zu sein.

Damit Km und Hm in einer gemeinsamen Wertung vergleichbar werden, braucht es einen festen Umrechnungs-Schlüssel. Zusätzlich sollen offiziell (=im Community-Kontext) gefahrene Kilometer mehr wert sein als solo gefahrene. Vorschlag in drei Bausteinen:

1. Grundformel – Basispunkte

Warum hm ÷ 10? 100 Höhenmeter entsprechen im Schnitt dem Aufwand von ca. 10 zusätzlichen Flachland-Kilometern (etablierter Faktor aus Brevet- und Radmarathon-Szene: 1 hm ≈ 0,1 km Zuschlag, also 10 hm = 1 km). Das passt zu realer Fahrleistung: Ein 80 km-Ride mit 1500 hm ergäbe 80 + 150 = 230 Basispunkte – die Kletterei dominiert, wie es sich auch anfühlt.

2. Kategorie-Multiplikator – offiziell zählt mehr

Die Basispunkte werden mit einem Kategorie-Faktor multipliziert. Solo als 1,0× ist der neutrale Referenzwert, alles mit mag.biking-Bezug bekommt einen Aufschlag:

Kategorie-Erkennung: Phase 1 manuell per Admin-Bestätigung (Teilnehmerliste zu einem Event/Rideout). Phase 4 automatisch via GPX-Start-Match (Treffpunkt-Koordinaten ±500 m, Startzeit ±60 min).

3. Gesamt-Formel

4. Beispielrechnungen

Beobachtung: Ein Rideout „schlägt“ die vierfache Distanz solo, ein Event die zehnfache. Das Punktesystem belohnt die Teilnahme spürbar, ohne Solo-Fahrten zu entwerten.

5. Tuning-Parameter (konfigurierbar im Admin)

Alle Stellschrauben sollten in einer ranking_config-Tabelle in der Pi-API SQLite-DB liegen, damit sie ohne Code-Deploy angepasst werden können:

• hm_per_km (Default 10) – „Wie viele Hm entsprechen 1 km?“ Niedriger = Berge zählen mehr, höher = flach-freundlicher.
• factor_solo (Default 1,0), factor_rideout (1,5), factor_event (2,0), factor_multiday (2,5), factor_challenge (3,0)
• min_distance_km (z.B. 5) – Fahrten unter Schwelle werden ignoriert (keine Strava-„Commute“-Spam)
• max_points_per_day (optional, z.B. 1500) – Cap gegen Ausreißer-Langstrecken
• season_start / season_end – Jahres-Ranking-Zeitraum (z.B. 01.03. – 31.10. für Roadbike-Saison)

6. Validierung & Fairness

• Doppelt-zähl-Schutz: Eine Fahrt zählt entweder als Solo oder Community, nie beides. Community-Markierung überschreibt Solo.
• Nachweis: Für Community-Faktor muss entweder Admin-Bestätigung oder GPX-Match vorliegen – sonst Fallback auf Solo (1,0×).
• Pro-Rata bei Ausstieg: Wer ein Rideout früh abbricht, bekommt nur den tatsächlich gefahrenen Anteil mit Community-Faktor. Rest solo.
• Einheitliche Datenquelle: Alle km/hm kommen aus derselben Quelle (Strava-Aktivität). Keine manuelle Veränderung nach Import.

A) Strava OAuth (empfohlen): Nutzer verbindet einmal sein Strava-Konto, api.mag-biking.com holt Aktivitäten per Webhook / Pull. Vorteil: Keine manuelle Pflege, Distanz/Hm/Zeit automatisch. Nachteil: Strava-Account Pflicht, API-Rate-Limits, Token-Refresh-Logik.
B) Manuelle Eingabe: Nutzer trägt nach jeder Fahrt Distanz/Hm selbst ein. Vorteil: Einfach, keine externen Abhängigkeiten. Nachteil: UX-Hürde, Vertrauensproblem.
C) Hybrid: Strava-OAuth als Default, manuelle Eingabe als Fallback für Nutzer ohne Strava.
Community-Attribution: Admin markiert beim Rideout/Event eine Teilnehmerliste, oder das System matcht Strava-Aktivität (Start innerhalb 500 m + ±1 h um Rideout-Zeit) automatisch.

Belohnungen sind nicht-kompetitiv (jeder kann sie erreichen), im Gegensatz zum Ranking (Top 10). Ideen:

• Meilenstein-Sticker: 100 / 500 / 1000 / 2500 / 5000 km pro Jahr (Solo & Community getrennt)
• Höhenmeter-Badges: 1000 / 5000 / 10 000 hm, „Alpencross-Äquivalent“ ab 15 000 hm
• Rideout-Stempel: Ein Stempel pro besuchtem Rideout. Bei 10/25/50 Rideouts: eigener Badge („Regular“, „Veteran“, „Legend“)
• Event-Stempel: Pro mehrtägigem Event (Bikepacking, Trainingslager) ein eigener Stempel mit Event-Logo – seltener, wertvoller
• Saison-Challenges: „Winter-Warrior“ (3 Rideouts im Januar), „Gravel-Sommer“ (5 Gravel-Touren zwischen Juni–August), editierbar im Admin
• Team-Badges: „Bergziege“ (hohes Hm/Km-Verhältnis), „Frühaufsteher“ (10 Starts vor 8:00 Uhr), „Kilometerfresser“ (>200 km an einem Tag)

Darstellung: Sticker-Sammelbogen im Profil (wie im realen Stempelheft), gesperrte Felder grau, freigeschaltete mit Datum & Titel.

• Jahres-Ranking: Top 10 Community-Km / Community-Hm des laufenden Jahres
• Monats-Ranking: Wer war im aktuellen Monat am aktivsten?
• Rideout-Frequenz: Wer war bei den meisten Rideouts dabei? (nicht Km-basiert)
• Team-Leistung: Aggregierte Community-Km aller Mitglieder – kollektives Ziel („Gemeinsam um die Welt: 40 075 km“)
• Eigene Historie: Persönlicher Verlauf mit Grafik, nicht-öffentlich

Opt-out: Wer nicht im öffentlichen Ranking erscheinen will, kann sich mit einem Flag im Profil ausblenden – Solo-Km und Stempelbuch bleiben privat sichtbar.

Neue Pi-API SQLite-Tabellen: profiles (aus Mitglieder-Bereich, bereits vorhanden), activities (eine Zeile pro Fahrt), rideout_attendance (User × Rideout), badges (Katalog aller Sticker + Regeln), user_badges (freigeschaltete Sticker pro User). Zugriffskontrolle über JWT Middleware.

• Mitglieder-Bereich (#roadmap-members) muss zuerst stehen – ohne Login kein Ranking
• Strava API Access: Existiert bereits für Club-Km (api.mag-biking.com/api/stats), müsste um OAuth-Flow erweitert werden
• DSGVO: Aktivitätsdaten sind personenbezogen, sensibel (Standort!). Einwilligung explizit, Datenschutzerklärung erweitern, Exportfunktion + Löschung auf Anfrage
• Offene Frage: Soll Community-Attribution automatisch (GPX-Match) oder manuell (Admin bestätigt Teilnehmerliste) laufen? Erste Phase wohl manuell – einfacher, fehlertoleranter
• Offene Frage: Sollen Solo-Km öffentlich sichtbar sein oder nur im eigenen Profil? Empfehlung: Nur Community-Km öffentlich (passt zum Community-Gedanken)
• Offene Frage: Physische Sticker (drucken, an aktivste Mitglieder verschicken) als Jahresabschluss-Aktion?

Phase 1 – Manuelles Tracking (klein): Nutzer tragen nach Login Km/Hm selbst ein, Community-Flag vom Admin bestätigt. Einfaches Ranking, noch ohne Sticker. Setzt nur Mitglieder-Bereich voraus.
Phase 2 – Stempelbuch (mittel): Badge-Katalog im Admin pflegen, Trigger-Regeln (Km-Summen, Anzahl Rideouts), Sticker-Ansicht im Profil.
Phase 3 – Strava OAuth (groß): OAuth-Flow auf api.mag-biking.com, Webhook für neue Aktivitäten, automatische Aggregation. Ersetzt manuelle Eingabe für Strava-Nutzer.
Phase 4 – Auto-Community-Match (optional): GPX-/Segment-Matching gegen Rideout-Startpunkte + Zeiten.

Während längerer Touren (Bikepacking, Alpencross, Trainingslager) ist es für die Community spannend mitzuverfolgen, wo ein Mitglied gerade unterwegs ist. Garmin „LiveTrack“ und ähnliche Dienste bieten das technisch an – aber als öffentliche Links, die beliebig weitergegeben werden können. Ziel: Dieses Tracking innerhalb des Mitglieder-Bereichs verfügbar machen, als Opt-in pro Tour, mit feingranularer Freigabe (alle Mitglieder / bestimmte User / privater Link).

• Opt-in pro Tour: Tracking wird nicht automatisch aktiviert, sondern pro Ausfahrt vom Mitglied freigegeben (Datenschutz).
• Sichtbarkeits-Stufen: (a) nur ich selbst, (b) ausgewählte Mitglieder (z.B. „meine Tour-Crew“), (c) alle eingeloggten Mitglieder, (d) privater Share-Link für Außenstehende (signierter Token mit Ablaufdatum).
• Interaktive Karte: Leaflet + CartoDB Voyager (konsistent mit map.html), Position-Marker, Tour-Track als Polyline, Auto-Refresh alle 30–60 s.
• Leistungsdaten nebenbei: Geschwindigkeit, Höhe, Distanz, ggf. Herzfrequenz/Power – je nachdem was die jeweilige API liefert.

• Pi-API: Neue Tabelle live_sessions (id, user_id, started_at, ended_at, visibility, share_token, device_source). Tabelle live_points (session_id, ts, lat, lng, speed, altitude, hr, power, cadence). Endpoints: POST /api/live/session (start), POST /api/live/point (push), GET /api/live/session/:id (read, mit Auth-Prüfung gegen Sichtbarkeit).
• Ingest-Adapter pro Quelle: Garmin LiveTrack-Link per Scrape/Proxy polling (falls offiziell erlaubt), Wahoo ähnlich, Smartphone direkt per JWT-auth.
• Mitglieder-Bereich: neue Seite tracking.html mit Leaflet-Karte, Teilnehmer-Liste (aktuell live), Tour-Info-Box (km, ø Speed, HR/Power falls vorhanden).
• Share-Link: /live/<token> – signierter JWT mit session_id + exp, keine Login-Pflicht. Nur Position + Speed sichtbar, HR/Power per Default aus.

• Garmin LiveTrack-Scraping: Ist das Polling des öffentlichen Session-Links AGB-konform? Gibt es ein offenes API-Programm? Connect IQ Data-Field-App als legitimer Workaround prüfen.
• Wahoo API: Developer-Portal checken, ob es ein Live-Tracking-Endpoint gibt.
• Leistungsdaten: Welche Werte werden tatsächlich mitübertragen? Herzfrequenz/Power als sensible Gesundheitsdaten (Art. 9 DSGVO) – dürfen nur mit expliziter Einwilligung pro Session verarbeitet werden.
• Akku-Impact: Continuous Position-Push vom Garmin-Gerät reduziert Laufzeit. Relevanz besonders bei Mehrtages-Touren.
• Retention: Live-Punkte nach Tour-Ende (z.B. 48 h) löschen oder als Track archivieren? DSGVO-konform: Opt-in pro Vorgang.
• Missbrauchs-Szenarien: Stalking-Risiko bei Share-Links – Token mit kurzer Gültigkeit, Revoke-Funktion im Profil, Rate-Limit beim Polling.

Phase 1 (Recherche): API-Landschaft Garmin/Wahoo prüfen, rechtliche Fragen (Gesundheitsdaten), 1–2 Tage.
Phase 2 (MVP „Smartphone“): PWA-Tracking aus app.html heraus + Karte im Mitglieder-Bereich. Nur Position, keine HR/Power. 3–5 Tage.
Phase 3 (Garmin-Integration): Je nach Ergebnis Phase 1 – LiveTrack-Proxy oder Connect-IQ-App. 5–10 Tage.
Phase 4 (Freigabe-Logik): Sichtbarkeitsstufen, Share-Tokens, Revoke-UI im Profil. 2–3 Tage.

Aktuell muss ein Beitrag (Ride-Report, Event-Ankündigung, Community-News) dreimal geschrieben werden: einmal im Admin für die Website, einmal als Post im Strava-Club, einmal als Instagram-Caption. Ziel: Ein einziger Schreibvorgang, automatisches Fan-out auf alle drei Kanäle.

• Website – voll automatisiert möglich (bestehender GitHub-Sync + Pi-API).
• Instagram – automatisierbar via Instagram Graph API (Meta for Developers). Voraussetzung: IG-Account als Business/Creator mit verknüpfter Facebook-Page + Meta-App.
• Strava Club-Posts – nicht automatisierbar. Der club announcements-Endpoint wurde deprecated, nur noch DELETE verfügbar. Lösung: „Assist-Modus“ – Caption + Link in die Zwischenablage, Deep-Link zum Strava-Club, manueller Post-Klick.

Admin-first Authoring im vorhandenen Blog-Editor – dort sind alle Felder schon da (Titel, Teaser, Beschreibung, Bilder, Sections). Ein neuer Button „Cross-publish“ triggert den Pi-API-Job:

admin.html Blog-Editor -> [Cross-publish ▾]
  [x] Website   [x] Instagram   [ ] Strava

Pi-API  POST /api/publish/blog
   +--> GitHub push content-data.js     ==> Website live
   +--> Graph API: create media container
        Graph API: publish              ==> Instagram-Feed
   +--> Strava-Assist: Caption + Hero-URL
        in Zwischenablage, Deep-Link    ==> manuell

• Account: IG Business oder Creator, verknüpft mit einer Facebook-Page.
• Meta-App: In Meta for Developers anlegen, Scope instagram_content_publish aktivieren. Entwicklungs-Modus reicht für eigenen Account – sonst App-Review nötig (2–4 Wochen).
• Token: Long-lived Page Access Token (60 Tage). Muss per Cron alle ~50 Tage refresht werden.
• Bild-Regeln: JPEG, öffentliche HTTPS-URL (Meta pullt das Bild), Aspect 4:5 … 1.91:1, Caption ≤ 2200 Zeichen, ≤ 30 Hashtags.
• Rate-Limit: 100 API-Posts / 24 h – praxisfern als Engpass.
• Webhook „neuer Post“: existiert nicht. IG-first-Autoring-Richtung scheidet damit aus.

Der offizielle Strava-API-Changelog dokumentiert die Deprecation: Club-Announcements können nur noch gelöscht, aber nicht mehr erstellt werden. createActivity legt eine persönliche Aktivität an, keinen Club-Post – passt inhaltlich nicht zu einem Blog-Eintrag. Zapier, Make, Buffer und Publer bieten ebenfalls keine Strava-Club-Output-Aktion.

Assist-Modus statt Automatisierung: Beim Klick auf „Cross-publish“ generiert die Admin-UI eine vorbereitete Caption (Titel + Teaser + Link zum Website-Post) und kopiert sie in die Zwischenablage. Parallel öffnet sich die Strava-Club-Seite in einem neuen Tab – ein Klick zum Einfügen, fertig.

• Zapier / Make – IG-Publish ja, Strava-Output nein. Würde uns mit einem Drittanbieter-Abo koppeln.
• Buffer / Publer / Metricool / Hootsuite – alle unterstützen IG, keiner Strava Clubs.
• Mixpost / Postiz (self-hosted) – fähig auf ARM/Pi, lösen aber Strava auch nicht und sind für einen einzelnen Account Overkill. Eigene ~100-Zeilen-Pi-API-Integration ist schlanker.

Summe: ~4–6 Entwicklertage + Meta-Review-Wartezeit.

Risiken: Token-Rotation (abgelaufener Token bricht Publish still ab), Bild-Aspect-Ratio (Blog-Bilder haben heute keine Einschränkung), Meta-App-Review falls IG-Account nicht im Dev-Mode läuft, Strava-Erwartungsmanagement (Assist-only statt voll-automatisch).

1. IG-Account-Status: Ist @mag.biking (oder der Community-Account) bereits Business/Creator mit verknüpfter FB-Page? Falls nein – Umstellung ist Voraussetzung.
2. Strava-Akzeptanz: Ist Assist-Modus (Caption kopieren + manuell einfügen) OK, oder ist Full-Auto ein Muss-Kriterium? Letzteres streicht Strava aus dem Scope.
3. Carousel vs. Single Image: Blog-Posts haben oft mehrere Bilder. IG-Carousel (bis 10 Bilder) möglich, aber aufwändiger – starten mit Single-Hero-Image?
4. Caption-Quelle: Automatisch aus Teaser generieren, oder eigenes Feld instagramCaption im Blog-Editor (Ton/Hashtags für IG anders als für Website)?
5. Fehler-Policy: Wenn IG-Publish fehlschlägt – trotzdem Website-Publish (Teil-Erfolg) oder atomar alles-oder-nichts?
6. Stories-Publishing: Zusätzlich zu Feed-Posts auch IG-Stories? Gleiche API, separate Entscheidung.

• Backend committed (3fe5ca3): 3-Rollen RBAC (admin/editor/member), Role-aware JWT mit token_version-Revocation, requireRole()-Middleware, Admin-Endpoints (list/patch/delete/reset-password/export/audit-log), Last-Admin-Schutz, DSGVO-Anonymisierung, TOTP 2FA (RFC 6238, native HMAC-SHA1 ohne npm-Deps), Audit-Log (append-only).
• Admin-UI committed (dc43dba): Section „Benutzer“ in admin.html mit Suche, Rollen-Dropdown, Sperren/Entsperren, Passwort-Reset, DSGVO-Export (JSON-Download), Löschung mit „LÖSCHEN“-Bestätigung und Audit-Log-Ansicht.
• 2FA-Frontend committed (64c0a10): Profil-Seite mit Setup/Enable/Disable-Flow, Secret-Anzeige + Kopier-Button, 2-Step-Login (login.html erkennt totp_required → TOTP-Feld).
• Deployment noch ausstehend: git pull auf Pi, pm2 restart mag-api; Migration läuft automatisch beim Start. Danach ADMIN_EMAIL in pi-api/.env setzen und neu starten → erster Admin wird gebootstrapt.

Alle Admin-Endpoints erfordern JWT mit role=admin. Alle 2FA-Endpoints (außer verify) erfordern ein gültiges JWT (eingeloggt).

Die Login-Antwort enthält { totp_required: true, totp_token } wenn für den User 2FA aktiv ist – dann erscheint im Frontend das Code-Eingabefeld.

Aktuell gibt es nur einen einzelnen Admin-Login; Mitglieder registrieren sich über den Mitglieder-Bereich. Es fehlt eine Übersicht aller registrierten User im Admin, sowie die Möglichkeit, Personen gezielt Berechtigungen zu geben (z.B. Blog-Editor ohne vollen Admin-Zugriff, Rideout-Leiter der Events pflegen darf, Moderator für spätere Community-Funktionen).

Ja, aber schlank. Full-RBAC mit feingranularen Permissions pro Ressource wäre Overkill. Eine 3-Rollen-Struktur reicht in der Praxis und ist später erweiterbar:

Warum jetzt entscheiden: Ein einzelnes role-Feld in der DB einziehen kostet jetzt ~30 Minuten. Nachträglich Permissions über eine binäre is_admin-Flag aufzuspalten ist ein Refactoring durch alle Auth-Middleware, Admin-UI-Guards und Tests – deutlich teurer.

• Admin-Section „Benutzer“: Tabelle mit E-Mail, Anzeigename, Rolle, Registriert-am, Letzter-Login, Strava-verknüpft (ja/nein), Status (aktiv/gesperrt).
• Suche & Filter: Freitext auf Name/Mail, Filter nach Rolle, Filter nach Anmeldequelle (Passwort vs. Magic-Link vs. Strava-OAuth).
• Aktionen pro User: Rolle ändern (Admin/Editor/Member), Sperren/Entsperren, Passwort-Reset auslösen, Löschen (DSGVO Art. 17).
• DSGVO-Export: User-Daten als JSON-Download für Auskunftsersuchen (Art. 15).
• Audit-Log: Wer hat wann welche Rolle änderung vorgenommen (simple Tabelle admin_audit).
• Anzahl-KPI im Admin-Dashboard: Gesamt-User, aktive letzte 30 Tage, Verteilung nach Rolle.

• DB-Migration: Spalte users.role TEXT NOT NULL DEFAULT 'member' CHECK IN ('admin','editor','member'). Migration: bestehende is_admin=1 → 'admin', sonst 'member'. is_admin kann deprecated bleiben, später entfernen.
• JWT-Payload: role-Claim aufnehmen – kein extra Roundtrip zur DB pro Request.
• Backend-Middleware: requireRole('admin'), requireRole('admin','editor') als Express-Middleware in pi-api/security.js.
• Frontend-Guards: window.MagBiking.Auth.hasRole(r)-Helper, damit Admin-Sidebar-Buttons je nach Rolle ausgeblendet werden.
• Sperren-Mechanik: users.status ('active','suspended'). Login prüft Status, bestehende JWTs werden bei Status-Änderung nicht sofort ungültig – daher Token-Version-Spalte (token_version), JWT speichert Version, bei Mismatch Logout.
• Admin-API-Endpoints: GET /api/admin/users, PATCH /api/admin/users/:id, DELETE /api/admin/users/:id, POST /api/admin/users/:id/reset-password.

Summe: ~4–5 Entwicklertage für den vollen Umfang. MVP (User-Liste lesen, Rolle ändern, Sperren, DSGVO-Löschen): ~2 Tage.

• Privilege-Escalation: Ein Editor darf niemals die eigene Rolle auf Admin setzen können. Backend muss explizit prüfen: req.user.role==='admin' AND targetUserId !== req.user.id für Admin-Aktionen.
• Letzter Admin schutz: Beim Löschen/Downgrade des letzten verbleibenden Admins Fehler werfen, sonst Lock-out.
• JWT-Revocation: Ohne Token-Version-Feld bleibt ein gesperrter User bis zum JWT-Ablauf eingeloggt. Lösung: token_version-Spalte, bei jedem Sperren/Rollen-Downgrade inkrementieren, JWT-Validation prüft Match.
• Audit-Log unveränderlich: admin_audit darf nur Appends erhalten, keine UPDATEs/DELETEs – wichtig für spätere Nachvollziehbarkeit.
• Passwort-Reset-Endpoint: Muss Rate-Limit bekommen (wie Login-Endpoint), sonst Missbrauchs-Vektor.

1. Editor-Rolle: gebraucht oder Overkill? Wenn du der einzige bist, der Content pflegt, reicht Admin+Member. Editor-Rolle lohnt sich, sobald 2+ Leute Rideouts/Events pflegen wollen.
2. Editor-Scope feinjustieren: Sollen Editor auch Admin-Docs oder Impressum bearbeiten dürfen? Vorschlag: nein – nur User-facing Content (Blog, Events, Rideouts, Galerie, Loadout, Packlisten).
3. Editor-Vergabe: Nur Admin kann eine Rolle heben, oder gibt es einen Einladungs-Flow (Admin generiert One-Time-Link)?
4. Sperren vs. Löschen: Auf Bitte eines Users reicht Sperren? Oder immer harte Löschung für DSGVO-Konformität? Vorschlag: beides anbieten, Default = Sperren, Löschen mit Bestätigung.
5. Datenaufbewahrung nach Löschung: Event-Anmeldungen historisch behalten (anonymisiert, z.B. „Mitglied“) oder ebenfalls löschen? Beeinflusst Event-Teilnehmerstatistiken.
6. 2FA für Admin/Editor: Separates Thema, aber denkbar als optionaler Schritt – TOTP-basierte 2FA für alle Rollen ≠ Member.

Die aktuelle Bildsprache nutzt hauptsächlich Event-Grafiken und Landschaftsbilder. Erfolgreiche Communities zeigen echte Gruppen-Fotos von Rides, Action-Shots und Rider-Portraits. Das vermittelt Gemeinschaft und Emotion – „Hier fahren echte Menschen zusammen".

1. Bei jedem Rideout und Event: 5–10 Fotos machen (Start, Gruppe, Landschaft, Pause, Ziel)
2. Konsistenter Bildstil: gleicher Filter/Farbton, dunkle Töne passend zum Dark-Theme
3. Galerie regelmäßig mit echten Ride-Fotos befüllen
4. Hero-Bild: Gruppenfahrt statt Solo-Landschaft
5. Blog-Beiträge: Rider-Portraits als Titelbild statt generische Grafiken

Kein Code-Aufwand – rein Content. Braucht einen „Foto-Beauftragten" oder regelmäßiges Sammeln von Bildern aus der Community (z.B. Strava-Fotos, Instagram-Reposts mit Erlaubnis).

Folgende JSON-LD Blöcke sind eingebettet:

• SportsOrganization – Auf allen Seiten. Beschreibt mag.biking als Organisation (Name, Region, Sport, Logo)
• FAQPage – Nur auf index.html. 6 Fragen mit Antworten, Microdata + JSON-LD doppelt
• SportsEvent – Dynamisch auf event-detail.html. Wird per JS aus den Event-Daten generiert (Titel, Datum, Ort, Bild)
• BreadcrumbList – Auf Unterseiten (events, blog, stats, event-detail). Zeigt Navigationspfad

Alle SEO-Texte verwenden konsistent diese Formulierung:

Nicht verwenden: „Bad Waldsee", „Oberschwaben" als Standort-Fokus. Diese Begriffe nur für konkrete Event-Namen (z.B. „Bad Waldsee Radmarathon").

Fokus-Themen: Wöchentliche Rideouts, Rennrad- & Gravel-Events, Bikepacking-Touren, Trainingslager Road & Gravel.

Im Admin-Editor gibt es den Button „SEO-Check" in der Topbar. Dieser prüft alle öffentlichen Seiten auf:

• Meta-Description vorhanden und richtige Länge (50–160 Zeichen)
• Open Graph Tags vollständig (og:title, og:description, og:image, og:url)
• Canonical Link vorhanden
• Schema.org JSON-LD vorhanden (SportsOrganization)
• FAQ-Section auf index.html vorhanden
• robots.txt erreichbar
• sitemap.xml erreichbar
• <noscript>-Fallback auf index.html

Ergebnis wird als Modal mit Checkliste angezeigt (grün = OK, rot = fehlt).

• Google Search Console – Sitemap eingereicht (10.04.2026), Property verifiziert
• Google Business Profil – Empfohlen: kostenloses lokales Listing anlegen
• Strava Club Beschreibung – Keywords optimieren (Bodensee, Schwarzwald, Gravel, Bikepacking)
• Komoot Club/Profil – Routen veröffentlichen für zusätzliche Sichtbarkeit
• Lokalpresse – Artikel über Events platzieren (Backlinks + Autorität)