revu des secrets et .env pour différencier

.gitea/workflows/cd-main.yml

@@ -1,7 +1,7 @@
 name: CD - Deploy on main
 
 on:
-  pull_request:
+  push:
     branches:
       - main
 
@@ -10,6 +10,7 @@ jobs:
     runs-on: self-hosted
 
     steps:
+
       # 1) S'assurer que Node.js est installé
       - name: Ensure Node.js is installed
         shell: sh
@@ -17,102 +18,97 @@ jobs:
           if command -v node >/dev/null 2>&1; then
             echo "Node.js already installed: $(node -v)"
           else
-            echo "Node.js not found, installing..."
             apk update && apk add --no-cache nodejs
             echo "Node.js installed: $(node -v)"
           fi
 
-      # 2) S'assurer que Java & Maven sont installés
+      # 2) S'assurer que Java 17 & Maven sont installés
       - name: Ensure Java & Maven are installed
         shell: sh
         run: |
-          if command -v java >/dev/null 2>&1; then
-            echo "Java already installed:"
-            java -version
-          else
-            echo "Java not found, installing OpenJDK 17..."
+          if ! command -v java >/dev/null 2>&1; then
             apk update && apk add --no-cache openjdk17-jdk
-            echo "Java installed:"
-            java -version
           fi
+          java -version
 
-          if command -v mvn >/dev/null 2>&1; then
-            echo "Maven already installed:"
-            mvn -version
-          else
-            echo "Maven not found, installing Maven..."
+          if ! command -v mvn >/dev/null 2>&1; then
             apk update && apk add --no-cache maven
-            echo "Maven installed:"
-            mvn -version
           fi
+          mvn -version
 
-      # 3) Détecter JAVA_HOME dynamiquement et le propager
+      # 3) Détecter JAVA_HOME dynamiquement
       - name: Detect JAVA_HOME dynamically
         shell: sh
         run: |
           JAVA_BIN=$(readlink -f "$(command -v java)")
           JAVA_HOME=$(dirname "$(dirname "$JAVA_BIN")")
-          echo "Detected JAVA_HOME=$JAVA_HOME"
           echo "JAVA_HOME=$JAVA_HOME" >> "$GITHUB_ENV"
 
       # 4) Checkout du dépôt
       - name: Checkout repository
         uses: actions/checkout@v4
 
-      # 5) Afficher quelques infos utiles
-      - name: Show current commit and tools
+      # 5) Informations de contexte (sans secrets)
+      - name: Show context information
         shell: sh
         run: |
-          echo "Current commit:"
+          echo "Commit:"
           git rev-parse HEAD
-          echo "JAVA_HOME is: $JAVA_HOME"
+          echo "JAVA_HOME=$JAVA_HOME"
           java -version
           mvn -version
 
-      # 6) S'assurer que le client Docker + docker-compose sont installés
-      - name: Ensure Docker CLI is installed
+      # 6) S'assurer que Docker CLI & docker-compose sont installés
+      - name: Ensure Docker & docker-compose are installed
         shell: sh
         run: |
           if command -v docker >/dev/null 2>&1; then
-            echo "Docker CLI already installed:"
             docker version || true
           else
-            echo "Docker CLI not found, installing..."
             apk update && apk add --no-cache docker docker-compose
-            echo "Docker CLI installed:"
             docker version || true
           fi
 
-      # 7) Générer le .env utilisé par docker-compose-prod.yml
-      - name: Generate .env from Gitea secrets
+      # 7) Fournir la configuration NON sensible (OBLIGATOIRE)
+      #    (POSTGRES_DB et POSTGRES_USER ne sont PAS des secrets)
+      - name: Export database configuration
         shell: sh
         run: |
-          cat > .env <<EOF
-          POSTGRES_DB_FISCAD=${{ secrets.POSTGRES_DB_FISCAD }}
-          POSTGRES_USER_FISCAD=${{ secrets.POSTGRES_USER_FISCAD }}
-          POSTGRES_PASSWORD_FISCAD=${{ secrets.POSTGRES_PASSWORD_FISCAD }}
-          EOF
-          echo "Generated .env:"
-          cat .env
+          echo "POSTGRES_DB_FISCAD=fiscad_db" >> "$GITHUB_ENV"
+          echo "POSTGRES_USER_FISCAD=fiscad_user" >> "$GITHUB_ENV"
 
-      # 8) Build Maven pour générer le jar dans target/
+      # 8) Création des secrets runtime (PRODUCTION)
+      - name: Create runtime secrets
+        shell: sh
+        run: |
+          mkdir -p secrets
+          echo "${{ secrets.DEFAULT_USER_NAME }}" > secrets/defaultUserName.txt
+          echo "${{ secrets.DEFAULT_USER_PASSWORD }}" > secrets/defaultUserPassword.txt
+          echo "${{ secrets.POSTGRES_PASSWORD_FISCAD }}" > secrets/postgresPassword.txt
+          chmod 600 secrets/*
+
+      # 9) Build Maven (jar final)
       - name: Build backend with Maven
         shell: sh
-        run: mvn -B clean package
+        run: mvn -B clean package -DskipTests
 
-      # 9) Déploiement en prod avec docker-compose-prod.yml
+      # 10) Déploiement avec docker-compose (prod)
       - name: Deploy using docker-compose (prod)
         shell: sh
         run: |
-          # IMPORTANT : on fixe le nom du projet compose
           export COMPOSE_PROJECT_NAME=fiscad
-          
-          # Puis on déploie avec un nom de projet fixe
+
           docker-compose -f docker-compose-prod.yml pull || true
           docker-compose -f docker-compose-prod.yml down --remove-orphans
           docker-compose -f docker-compose-prod.yml up -d --build
 
-      # 10) Nettoyage des images non utilisées
-      - name: Cleanup unused images
+      # 11) Nettoyage des secrets (OBLIGATOIRE)
+      - name: Cleanup secrets
+        if: always()
+        shell: sh
+        run: rm -rf secrets
+
+      # 12) Nettoyage des images Docker inutilisées
+      - name: Cleanup unused Docker images
         shell: sh
         run: docker image prune -f || true