docs: reflejar multicomunidad, gating de grupos y /admin

Co-authored-by: aider (openrouter/openai/gpt-5) <aider@aider.chat>
4 weeks ago · a5a3d98167
parent a5eedb5c7f
commit a5a3d98167
6 changed files with 100 additions and 1 deletions
--- a/.env.example
+++ b/.env.example
@ -46,3 +46,35 @@ TZ="Europe/Madrid"        # Zona horaria usada para "hoy/mañana" y render de fe
 # RQ_BASE_BACKOFF_MS=5000
 # Backoff máximo en milisegundos (por defecto 3600000 = 1h).
 # RQ_MAX_BACKOFF_MS=3600000
+
+# Limpieza y mantenimiento de la cola (opcional — avanzado)
+# Habilitar/deshabilitar limpieza automática (por defecto true).
+# RQ_CLEANUP_ENABLED=true
+# Días de retención para enviados (por defecto 14).
+# RQ_RETENTION_DAYS_SENT=14
+# Días de retención para fallidos (por defecto 30).
+# RQ_RETENTION_DAYS_FAILED=30
+# Intervalo del scheduler de limpieza en ms (por defecto 86400000 = 24h).
+# RQ_CLEANUP_INTERVAL_MS=86400000
+# Tamaño de lote para borrar elementos en limpieza (por defecto 1000).
+# RQ_CLEANUP_BATCH=1000
+# Ejecutar PRAGMA optimize tras limpieza (por defecto true).
+# RQ_OPTIMIZE_ENABLED=true
+# Ejecutar VACUUM cada N ejecuciones de limpieza (por defecto desactivado).
+# RQ_VACUUM_ENABLED=false
+# Frecuencia de VACUUM (solo si está habilitado).
+# RQ_VACUUM_EVERY_N_RUNS=28
+
+# Métricas (opcional)
+# METRICS_ENABLED=true
+# METRICS_FORMAT=prom # prom|json
+
+# Control de acceso por grupos (multicomunidad)
+# Modo: off|discover|enforce (por defecto off)
+# GROUP_GATING_MODE=discover
+# Lista de administradores (IDs/JIDs; se normalizan a dígitos)
+# ADMIN_USERS="34600123456, 5554443333"
+# Lista de grupos permitidos inicial (JIDs @g.us)
+# ALLOWED_GROUPS="12345-67890@g.us, 11111-22222@g.us"
+# Notificar a ADMIN_USERS cuando se descubra un grupo en modo discover
+# NOTIFY_ADMINS_ON_DISCOVERY=true
--- a/STATUS.md
+++ b/STATUS.md
@ -8,6 +8,7 @@ Siguiente paso de desarrollo: ejecutar el plan mínimo de CI/CD, healthcheck y b
  - Endpoint /health, validación de entorno, extracción robusta de texto (conversation/extended/captions).
  - Detección DM vs grupo y política “solo DM”.
  - Registro/verificación de webhooks y sincronización de grupos activos con caché; sincronización periódica de miembros y handlers incrementales (alta/baja/rol) idempotentes.
+  - Control de acceso por grupos (allowed_groups): modos discover/enforce, aprobación/bloqueo vía /admin y notificación opcional a ADMIN_USERS en descubrimiento.
  - Rate limiting por usuario (15/min por defecto; desactivado en tests; aviso con cooldown).
 - Base de datos y migraciones
  - Inicialización con PRAGMA FK y timestamps de alta precisión.
--- a/docs/USER_GUIDE.md
+++ b/docs/USER_GUIDE.md
@ -88,5 +88,22 @@ Limitaciones y notas
 - En algunos clientes, las menciones en DM no se muestran como chips.
 - Límite de 15 comandos/min por usuario (configurable).

+Administración
+- Solo para usuarios en ADMIN_USERS (se normalizan a dígitos).
+- Comandos clave:
+  - /admin pendientes — lista grupos en estado “pending”.
+  - /admin habilitar-aquí — permite el grupo actual (alias: enable).
+  - /admin deshabilitar-aquí — bloquea el grupo actual (alias: disable).
+  - /admin allow-group <group_id@g.us> — permite un grupo específico.
+  - /admin block-group <group_id@g.us> — bloquea un grupo específico.
+  - /admin sync-grupos — fuerza sincronización de grupos.
+- Modos de control de acceso:
+  - off — sin control (no recomendado).
+  - discover — grupos desconocidos quedan “pending” y (opcional) se avisa por DM a ADMIN_USERS.
+  - enforce — solo se procesan mensajes/comandos de grupos “allowed”.
+- Notas:
+  - La app es multicomunidad; el gating evita ruido en grupos no aprobados.
+  - Ver variables: GROUP_GATING_MODE, ADMIN_USERS, ALLOWED_GROUPS, NOTIFY_ADMINS_ON_DISCOVERY.
+
 Contacto y soporte
 - Si encuentras problemas o tienes ideas, abre un issue en el repositorio o contacta con el administrador de la instancia.
--- a/docs/adr/0003-allowed-groups-multicommunity.md
+++ b/docs/adr/0003-allowed-groups-multicommunity.md
@ -0,0 +1,42 @@
+# 0003 — Control de acceso por grupos (multicomunidad) y /admin
+
+Estado
+- aceptada
+
+Contexto
+- El bot debe convivir con múltiples comunidades/grupos.
+- Evitar ruido/abuso en grupos donde el bot no está aprobado.
+- Requerimos un flujo de aprobación simple, auditable y consistente con el diseño “solo DM”.
+
+Decisión
+- Añadir tabla allowed_groups con:
+  - group_id (PK), label (opcional), status ('pending'|'allowed'|'blocked'),
+    discovered_at, updated_at, discovered_by (opcional).
+- Modos de gating:
+  - off — sin control.
+  - discover — grupos desconocidos pasan a 'pending'; detener procesamiento y (opcional) notificar por DM a ADMIN_USERS.
+  - enforce — solo se procesan mensajes/comandos de grupos 'allowed'.
+- Servicio AllowedGroups con caché en memoria e interfaz:
+  - isAllowed(groupId), setStatus(groupId, status), upsertPending(groupId, discoveredBy), listByStatus(status), seedFromEnv().
+- Comandos /admin (solo ADMIN_USERS normalizados):
+  - pendientes, habilitar-aquí, deshabilitar-aquí, allow-group <jid>, block-group <jid>, sync-grupos.
+- Métricas:
+  - Gauges: allowed_groups_total_pending|allowed|blocked.
+  - Counters: unknown_groups_discovered_total, messages_blocked_group_total, commands_blocked_total, sync_skipped_group_total.
+- Variables de entorno:
+  - GROUP_GATING_MODE, ADMIN_USERS, ALLOWED_GROUPS, NOTIFY_ADMINS_ON_DISCOVERY.
+
+Consecuencias
+- Despliegues multicomunidad más seguros y con menos ruido.
+- Complejidad moderada (tabla + caché + comandos de admin).
+- Operativa documentada y métricas para observabilidad.
+
+Alternativas consideradas
+- Lista blanca hardcodeada: poca flexibilidad y sin trazabilidad.
+- Restringir a una única comunidad: limita casos de uso.
+- Sin control: riesgo de abuso y ruido.
+
+Notas de implementación
+- Gate aplicado en server.ts y CommandService (retorno temprano según modo).
+- GroupSyncService ignora grupos no allowed (incluye scheduler).
+- Reminders y TaskService filtran por grupos válidos en modo enforce.
--- a/docs/database.md
+++ b/docs/database.md
@ -18,6 +18,9 @@ Esquema funcional (resumen)
  - alias (PK), user_id (FK → users), source, created_at, updated_at.
 - groups
  - id (PK, JID), name, active (boolean), last_verified (timestamp).
+- allowed_groups
+  - group_id (PK, JID), label (TEXT | null), status ('pending'|'allowed'|'blocked'),
+    discovered_at, updated_at, discovered_by (TEXT | null).
 - group_members
  - group_id (FK → groups), user_id (FK → users), is_admin (boolean), is_active (boolean),
    first_seen_at, last_seen_at, last_role_change_at.
@ -31,7 +34,10 @@ Esquema funcional (resumen)
  - task_id (FK → tasks), user_id (FK → users), assigned_by (user_id), assigned_at.
 - response_queue
  - id (PK), recipient (user_id/JID), message (texto), metadata (JSON | null),
-    attempts (int), available_at (timestamp), created_at (timestamp).
+    status ('queued'|'processing'|'sent'|'failed'),
+    attempts (int), next_attempt_at (timestamp | null),
+    last_error (TEXT | null), last_status_code (INT | null),
+    created_at (timestamp), updated_at (timestamp).

 Nota: El detalle exacto está en las migraciones (src/db/migrations). Usa tableHasColumn para detectar columnas en migraciones idempotentes.

--- a/docs/overview.md
+++ b/docs/overview.md
@ -4,6 +4,7 @@ Qué hace el sistema
 - Ingesta de webhooks de WhatsApp (Evolution API) y ruteo de eventos.
 - Parsing de comandos de texto y operaciones sobre tareas.
 - Sincronización periódica de grupos y miembros.
+- Control de acceso por grupos (allowed_groups) con modos off/discover/enforce y comandos /admin.
 - Recordatorios a usuarios según preferencias.
 - Cola de respuestas con reintentos/backoff.
 - Métricas y health para operación.