();
diff --git a/src/food-market.api/Resources/EmailTemplates/invite.html b/src/food-market.api/Resources/EmailTemplates/invite.html
new file mode 100644
index 0000000..7b70a9c
--- /dev/null
+++ b/src/food-market.api/Resources/EmailTemplates/invite.html
@@ -0,0 +1,24 @@
+Subject: Приглашение в {{organizationName}}
+
+
+
+
+Приглашение в Food Market
+
+
+ Добро пожаловать в {{organizationName}}
+ Здравствуйте, {{employeeName}}.
+ Для вас создан доступ к системе Food Market. Войдите по адресу:
+
+ Открыть Food Market
+
+
+ | Логин | {{email}} |
+ | Временный пароль | {{temporaryPassword}} |
+ | Роль | {{roleName}} |
+
+
+ После первого входа смените пароль в личном кабинете. Если вы не ожидали это письмо — просто игнорируйте его, доступ без первого входа не активируется.
+
+
+
diff --git a/src/food-market.api/Resources/EmailTemplates/low-stock.html b/src/food-market.api/Resources/EmailTemplates/low-stock.html
new file mode 100644
index 0000000..95713bd
--- /dev/null
+++ b/src/food-market.api/Resources/EmailTemplates/low-stock.html
@@ -0,0 +1,19 @@
+Subject: Низкие остатки · {{organizationName}}
+
+
+
+
+Низкие остатки
+
+
+ Низкие остатки
+ {{productCount}} товаров опустились ниже MinStock. Время сделать заказ.
+
+ {{{itemsHtml}}}
+
+
+ Полный список — в разделе Остатки.
+ Отключить уведомления можно в настройках организации.
+
+
+
diff --git a/src/food-market.api/Resources/EmailTemplates/weekly-summary.html b/src/food-market.api/Resources/EmailTemplates/weekly-summary.html
new file mode 100644
index 0000000..859a6ba
--- /dev/null
+++ b/src/food-market.api/Resources/EmailTemplates/weekly-summary.html
@@ -0,0 +1,36 @@
+Subject: Итоги недели · {{organizationName}}
+
+
+
+
+Еженедельная сводка
+
+
+ Итоги недели
+ {{periodFrom}} — {{periodTo}}
+
+
+
+
Выручка
+
{{revenue}}
+
+
+
Чеков
+
{{transactions}}
+
+
+
Средний чек
+
{{avgTicket}}
+
+
Топ-товары
+ {{{topProductsHtml}}}
+ {{/topProductsHtml}}
+
+
+ Подробная аналитика — в разделе Отчёты.
+
+
+
diff --git a/src/food-market.api/food-market.api.csproj b/src/food-market.api/food-market.api.csproj
index b2f9c34..9df0131 100644
--- a/src/food-market.api/food-market.api.csproj
+++ b/src/food-market.api/food-market.api.csproj
@@ -27,4 +27,9 @@
+
+
+
+
+
diff --git a/src/food-market.application/Common/Email/EmailTemplateRenderer.cs b/src/food-market.application/Common/Email/EmailTemplateRenderer.cs
new file mode 100644
index 0000000..4ca407d
--- /dev/null
+++ b/src/food-market.application/Common/Email/EmailTemplateRenderer.cs
@@ -0,0 +1,61 @@
+using System.Text.RegularExpressions;
+
+namespace foodmarket.Application.Common.Email;
+
+/// Лёгкий «mustache-light» рендерер для email-шаблонов: подстановка
+/// `{{key}}` из словаря и условные блоки `{{#key}}...{{/key}}` (показываются
+/// только если key есть и значение truthy).
+///
+/// Не Razor/Liquid — намеренно минимальный набор, потому что эти шаблоны:
+/// • короткие и редкие (3 типа писем),
+/// • не требуют циклов/выражений (структурированные DTO в коде формирует
+/// payload построчно перед рендером),
+/// • не должны давать SSRF/RCE-поверхность (как у любого «полноценного»
+/// шаблонизатора).
+///
+/// HTML-escape по умолчанию ВКЛЮЧЁН — `{{name}}` экранирует, `{{{name}}}`
+/// (тройные фигурные) вставляет как есть (для уже-готового HTML вставок,
+/// типа таблиц). Используйте с осторожностью.
+public static class EmailTemplateRenderer
+{
+ private static readonly Regex BlockRegex = new(@"\{\{#(\w+)\}\}(.*?)\{\{/\1\}\}", RegexOptions.Singleline | RegexOptions.Compiled);
+ private static readonly Regex RawRegex = new(@"\{\{\{(\w+)\}\}\}", RegexOptions.Compiled);
+ private static readonly Regex EscRegex = new(@"\{\{(\w+)\}\}", RegexOptions.Compiled);
+
+ public static string Render(string template, IReadOnlyDictionary values)
+ {
+ // 1. Условные блоки. Truthy = не-null, не пустая строка, не "0", не "false".
+ var result = BlockRegex.Replace(template, m =>
+ {
+ var key = m.Groups[1].Value;
+ values.TryGetValue(key, out var v);
+ return IsTruthy(v) ? m.Groups[2].Value : "";
+ });
+
+ // 2. Raw (без escape). После блоков чтобы тройные внутри условного блока тоже рендерились.
+ result = RawRegex.Replace(result, m =>
+ {
+ values.TryGetValue(m.Groups[1].Value, out var v);
+ return v ?? "";
+ });
+
+ // 3. Escaped (по умолчанию).
+ result = EscRegex.Replace(result, m =>
+ {
+ values.TryGetValue(m.Groups[1].Value, out var v);
+ return v is null ? "" : HtmlEscape(v);
+ });
+
+ return result;
+ }
+
+ private static bool IsTruthy(string? v) =>
+ !string.IsNullOrWhiteSpace(v) && v != "0" && !string.Equals(v, "false", StringComparison.OrdinalIgnoreCase);
+
+ private static string HtmlEscape(string s) => s
+ .Replace("&", "&")
+ .Replace("<", "<")
+ .Replace(">", ">")
+ .Replace("\"", """)
+ .Replace("'", "'");
+}
diff --git a/src/food-market.application/Common/Email/IEmailSender.cs b/src/food-market.application/Common/Email/IEmailSender.cs
index 13f9e46..780c07b 100644
--- a/src/food-market.application/Common/Email/IEmailSender.cs
+++ b/src/food-market.application/Common/Email/IEmailSender.cs
@@ -6,6 +6,13 @@ namespace foodmarket.Application.Common.Email;
public interface IEmailSender
{
Task SendAsync(string toEmail, string subject, string body, CancellationToken ct = default);
+
+ /// HTML-версия с опциональным plain-text fallback. Используется
+ /// шаблонизированными письмами (приглашения, weekly-summary, low-stock).
+ /// Если null — клиент должен сам уметь
+ /// рендерить HTML; для большинства современных clients это не проблема.
+ Task SendHtmlAsync(string toEmail, string subject, string htmlBody, string? textBody = null,
+ CancellationToken ct = default);
}
/// Бросается когда платформенный SMTP не настроен. Контроллеры должны
diff --git a/src/food-market.infrastructure/Email/MailKitEmailSender.cs b/src/food-market.infrastructure/Email/MailKitEmailSender.cs
index d995151..3af1a24 100644
--- a/src/food-market.infrastructure/Email/MailKitEmailSender.cs
+++ b/src/food-market.infrastructure/Email/MailKitEmailSender.cs
@@ -27,7 +27,15 @@ public MailKitEmailSender(IServiceScopeFactory scopes, IDataProtectionProvider d
_scopes = scopes; _dpProvider = dpProvider; _logger = logger;
}
- public async Task SendAsync(string toEmail, string subject, string body, CancellationToken ct = default)
+ public Task SendAsync(string toEmail, string subject, string body, CancellationToken ct = default)
+ => SendInternalAsync(toEmail, subject, htmlBody: null, textBody: body, ct);
+
+ public Task SendHtmlAsync(string toEmail, string subject, string htmlBody, string? textBody = null,
+ CancellationToken ct = default)
+ => SendInternalAsync(toEmail, subject, htmlBody: htmlBody, textBody: textBody, ct);
+
+ private async Task SendInternalAsync(string toEmail, string subject,
+ string? htmlBody, string? textBody, CancellationToken ct)
{
using var scope = _scopes.CreateScope();
var db = scope.ServiceProvider.GetRequiredService();
@@ -43,7 +51,21 @@ public async Task SendAsync(string toEmail, string subject, string body, Cancell
msg.From.Add(new MailboxAddress(s.FromName ?? "Food Market", s.FromEmail));
msg.To.Add(MailboxAddress.Parse(toEmail));
msg.Subject = subject;
- msg.Body = new TextPart("plain") { Text = body };
+ if (htmlBody is not null)
+ {
+ // multipart/alternative: text fallback для клиентов без HTML
+ // (редкость, но включаем — не повредит).
+ var builder = new BodyBuilder
+ {
+ HtmlBody = htmlBody,
+ TextBody = textBody ?? StripHtml(htmlBody),
+ };
+ msg.Body = builder.ToMessageBody();
+ }
+ else
+ {
+ msg.Body = new TextPart("plain") { Text = textBody ?? "" };
+ }
// Implicit TLS (SmtpUseSsl) — обычно 465. STARTTLS (SmtpStartTls) — 587.
// Если оба false — открытое соединение (SmtpClient.Connect c None).
@@ -85,4 +107,17 @@ public async Task SendAsync(string toEmail, string subject, string body, Cancell
await client.DisconnectAsync(true, ct);
}
}
+
+ /// Грубый strip HTML→plain для multipart fallback'а.
+ /// Не для произвольного HTML, но для наших шаблонов достаточно.
+ private static string StripHtml(string html)
+ {
+ var s = System.Text.RegularExpressions.Regex.Replace(html, @"<\s*br\s*/?\s*>", "\n",
+ System.Text.RegularExpressions.RegexOptions.IgnoreCase);
+ s = System.Text.RegularExpressions.Regex.Replace(s, @"", "\n",
+ System.Text.RegularExpressions.RegexOptions.IgnoreCase);
+ s = System.Text.RegularExpressions.Regex.Replace(s, @"<[^>]+>", "");
+ return s.Replace(" ", " ").Replace("&", "&")
+ .Replace("<", "<").Replace(">", ">").Trim();
+ }
}
diff --git a/tests/food-market.UnitTests/EmailTemplateRendererTests.cs b/tests/food-market.UnitTests/EmailTemplateRendererTests.cs
new file mode 100644
index 0000000..eb71bb5
--- /dev/null
+++ b/tests/food-market.UnitTests/EmailTemplateRendererTests.cs
@@ -0,0 +1,108 @@
+using FluentAssertions;
+using foodmarket.Api.Infrastructure.Email;
+using foodmarket.Application.Common.Email;
+using Xunit;
+
+namespace foodmarket.UnitTests;
+
+public class EmailTemplateRendererTests
+{
+ [Fact]
+ public void Substitutes_simple_placeholder()
+ {
+ var r = EmailTemplateRenderer.Render(
+ "Привет, {{name}}!",
+ new Dictionary { ["name"] = "Алия" });
+ r.Should().Be("Привет, Алия!");
+ }
+
+ [Fact]
+ public void Escapes_html_in_double_braces()
+ {
+ var r = EmailTemplateRenderer.Render(
+ "{{text}}
",
+ new Dictionary { ["text"] = "" });
+ r.Should().Be("<script>x</script>
");
+ }
+
+ [Fact]
+ public void Triple_braces_render_raw_html()
+ {
+ var r = EmailTemplateRenderer.Render(
+ "{{{table}}}
",
+ new Dictionary { ["table"] = "" });
+ r.Should().Be("");
+ }
+
+ [Fact]
+ public void Conditional_block_shown_when_truthy()
+ {
+ var r = EmailTemplateRenderer.Render(
+ "Hi{{#bonus}}, бонус: {{bonus}}{{/bonus}}!",
+ new Dictionary { ["bonus"] = "100₸" });
+ r.Should().Be("Hi, бонус: 100₸!");
+ }
+
+ [Fact]
+ public void Conditional_block_hidden_when_falsy()
+ {
+ // null
+ EmailTemplateRenderer.Render(
+ "Hi{{#bonus}}, бонус!{{/bonus}}",
+ new Dictionary { ["bonus"] = null }).Should().Be("Hi");
+ // empty
+ EmailTemplateRenderer.Render(
+ "Hi{{#bonus}}, бонус!{{/bonus}}",
+ new Dictionary { ["bonus"] = "" }).Should().Be("Hi");
+ // "0"
+ EmailTemplateRenderer.Render(
+ "Hi{{#bonus}}, бонус!{{/bonus}}",
+ new Dictionary { ["bonus"] = "0" }).Should().Be("Hi");
+ }
+
+ [Fact]
+ public void Missing_key_renders_empty()
+ {
+ EmailTemplateRenderer.Render(
+ "Hi, {{nope}}!",
+ new Dictionary()).Should().Be("Hi, !");
+ }
+
+ [Fact]
+ public void Invite_template_loads_and_substitutes()
+ {
+ var tpl = new EmailTemplates();
+ var (subject, html, text) = tpl.Render("invite", new Dictionary
+ {
+ ["organizationName"] = "ТОО Тест",
+ ["employeeName"] = "Иван Иванов",
+ ["email"] = "ivan@test.kz",
+ ["temporaryPassword"] = "Pass123!",
+ ["roleName"] = "Кассир",
+ ["loginUrl"] = "https://admin.test.kz/login",
+ });
+ subject.Should().Contain("ТОО Тест");
+ html.Should().Contain("Иван Иванов");
+ html.Should().Contain("Pass123!");
+ html.Should().Contain("Кассир");
+ html.Should().Contain("https://admin.test.kz/login");
+ text.Should().Contain("Иван Иванов");
+ text.Should().NotContain("", "plain-text fallback не должен содержать теги");
+ }
+
+ [Fact]
+ public void Low_stock_template_uses_raw_html_for_items()
+ {
+ var tpl = new EmailTemplates();
+ var itemsHtml = "";
+ var (_, html, _) = tpl.Render("low-stock", new Dictionary
+ {
+ ["organizationName"] = "ТОО Тест",
+ ["productCount"] = "3",
+ ["itemsHtml"] = itemsHtml,
+ ["stockUrl"] = "https://admin.test.kz/inventory/stock",
+ });
+ // Тройные фигурные → вставка как есть, без двойного экранирования.
+ html.Should().Contain(itemsHtml);
+ }
+}