From 5b714e9a3a2d03006e7fb66635e1bf27294b3922 Mon Sep 17 00:00:00 2001
From: Imugiii <corentin.jog@gmail.com>
Date: Mon, 15 Jun 2026 18:42:09 +0000
Subject: [PATCH] docs(api): ajoute /api/me au listing des endpoints

Reflete l'endpoint GET /api/me (session-gated, RG-6/RG-T02/RG-T03) en service dans la section 5.1.
---
 docs/api/conventions.md | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/docs/api/conventions.md b/docs/api/conventions.md
index 3fbe29c..d27cdac 100644
--- a/docs/api/conventions.md
+++ b/docs/api/conventions.md
@@ -99,6 +99,13 @@ Autres regles :
 | POST | `/forgot_password` | public + CSRF | HTML (neutre) | envoi du lien (mlt 12.3) |
 | GET | `/reset_password` | public (token en query) | HTML | formulaire nouveau mot de passe |
 | POST | `/reset_password` | public + CSRF | 302 / HTML | confirmation (mlt 12.3) |
+| GET | `/api/me` | session | JSON | identite + permissions du compte courant (RG-6/RG-T02/RG-T03) |
+
+`/api/me` est le premier consommateur reel de `SessionGuard` (RG-6 idle/absolu + RG-T02
+is_active) et d'`Authorizer` (RG-T03, permissions rechargees depuis la base). Reponse :
+`{ "data": { "user_id", "role_id", "role_code", "permissions": [...] } }` ; `401 AUTH_REQUIRED`
+si la session est absente, expiree ou le compte desactive. Les autorisations par operation
+(et le PIN des actions sensibles, RG-T13) se cablent quand les operations existent (P3).
 
 ### 5.2 API kiosk - lecture catalogue + commande (prevu P4, public)