Статусные модели

Зачем нужно

Документ фиксирует статусы и допустимые переходы для сущностей identity. Реализация не должна вводить новые статусы без обновления этого документа.

`auth_flow_session`

Статусы

Статус	Значение
`started`	flow создан, identifier ещё не подтверждён
`identifier_resolved`	пользователь найден или подготовлен к регистрации
`password_required`	нужен пароль
`otp_required`	нужен код
`mfa_required`	нужен дополнительный фактор
`profile_required`	нужны обязательные данные регистрации
`completed`	flow завершён успешно
`failed`	flow завершён ошибкой
`expired`	истёк `expires_at`

Переходы

Из	В	Условие
`started`	`identifier_resolved`	identifier валиден
`identifier_resolved`	`password_required`	password step включён
`identifier_resolved`	`otp_required`	OTP step включён
`password_required`	`mfa_required`	пароль верный, MFA обязателен
`password_required`	`completed`	пароль верный, дополнительных шагов нет
`otp_required`	`completed`	код верный
`mfa_required`	`completed`	фактор подтверждён
любой активный	`failed`	превышены attempts или security denial
любой активный	`expired`	истёк TTL

`verification_code`

Статус	Условие
`active`	создан, не истёк, не использован
`consumed`	успешно использован
`expired`	истёк срок
`invalidated`	заменён новым кодом или заблокирован
`locked`	превышены attempts

Переходы: active -> consumed, active -> expired, active -> invalidated, active -> locked. Обратных переходов нет.

`user_session`

Статус	Условие
`active`	refresh token действителен
`revoked`	пользователь или админ отозвал сессию
`expired`	истёк срок
`compromised`	обнаружено повторное использование rotated refresh token

При переходе в compromised отзывается вся refresh_token_family_id.

`invitation`

Статус	Условие
`pending`	приглашение создано
`accepted`	пользователь принял
`revoked`	отправитель или админ отозвал
`expired`	истёк срок

accepted, revoked, expired — финальные статусы.

`organization`

Статус	Значение
`draft`	создана, но ещё не подтверждена как рабочий контур
`unclaimed`	организация существует, но owner не подтверждён
`active`	организация работает и имеет владельца
`disputed`	есть спор за права или принадлежность
`archived`	больше не используется
`merged`	склеена с основной организацией

Переходы:

draft -> unclaimed;
draft -> active;
unclaimed -> active;
unclaimed -> disputed;
active -> disputed;
active -> archived;
disputed -> active;
disputed -> archived;
active -> merged;
archived -> active при разрешённом восстановлении.

Правила:

active требует owner_membership_id; из-за циклического создания organization + membership это проверяется на service layer или deferred constraint;
merged требует merged_into_organization_id;
merged нельзя физически удалять;
disputed меняет только системный администратор;
merge выполняет только системный администратор после impact preview.

События переходов:

identity.organization.created;
identity.organization.activated;
identity.organization.disputed;
identity.organization.archived;
identity.organization.restored;
identity.organization.marked_duplicate;
identity.organization.merged.

`organization_membership`

Статус	Значение
`requested`	пользователь сам подал заявку
`invited`	пользователь приглашён
`active`	членство активно
`rejected`	заявка или invitation отклонены
`suspended`	членство временно остановлено
`left`	пользователь вышел из организации

Переходы:

requested -> active;
requested -> rejected;
invited -> active;
invited -> rejected;
active -> suspended;
suspended -> active;
active -> left.

Правила:

active membership должен иметь role_id;
owner membership нельзя перевести в left или suspended, пока у organization нет нового owner;
членство в team возможно только для active/suspended organization membership, но write actions требуют active.

`organization_ownership_claim`

Переходы:

submitted -> needs_more_info;
submitted -> approved;
submitted -> rejected;
submitted -> disputed;
needs_more_info -> submitted;
needs_more_info -> approved;
needs_more_info -> rejected;
submitted -> cancelled.

Правила:

approved создаёт или активирует membership и назначает owner role;
approved обновляет organization.owner_membership_id;
disputed переводит организацию в disputed, если она ещё не disputed;
review выполняет только системный администратор.

`organization_ownership_transfer`

Переходы:

created -> sent;
sent -> accepted;
accepted -> completed;
sent -> expired;
created -> cancelled;
sent -> cancelled.

Правила:

from_membership_id должен быть текущим owner;
получатель должен быть active membership или принять приглашение;
completed меняет organization.owner_membership_id;
старый owner получает роль из old_owner_new_role_id;
expired/cancelled transfer не может быть completed.

`organization_merge`

Переходы:

planned -> confirmed;
confirmed -> completed;
planned -> cancelled;
confirmed -> failed.

Правила:

primary_organization_id <> duplicate_organization_id;
confirmed требует impact preview;
completed переводит duplicate organization в merged;
automatic merge запрещён;
операция доступна только системному администратору.

`oauth_client`

Статус	Значение
`active`	client может выполнять OAuth flow
`disabled`	flow запрещён, tokens могут быть отозваны policy
`deleted`	client скрыт и не может использоваться

Переходы: active <-> disabled, active -> deleted, disabled -> deleted.

Platform-owned runtime capabilities

plugin, notification, platform settings, navigation, pages config, i18n and feature flags are not identity-owned state machines. They belong to the platform runtime capabilities layer by ADR-035. identity-api may temporarily host /api/v2/platform/* endpoints, but this file remains the canonical state-machine source only for identity-owned entities.

`delegated_session`

Статус	Условие
`active`	`ended_at IS NULL` и `expires_at > now()`
`ended`	взрослый завершил вручную
`expired`	истёк срок
`revoked`	family link или access отозван

Правило: любая downstream-команда с delegated context должна проверять актуальность delegated session.

`child_device_authorization`

Статус	Условие
`created`	запрос создан на устройстве ребёнка, одноразовый код/QR token ещё действителен
`approved`	active adult той же семьи подтвердил запрос
`completed`	устройство ребёнка обменяло approval на `user_session` linked child user
`expired`	истёк TTL запроса
`revoked`	adult или admin отозвал запрос

Переходы: created -> approved -> completed, created -> expired, created -> revoked, approved -> expired, approved -> revoked. completed, expired и revoked — финальные статусы.

Правило: child_device_authorization не создаёт delegated context взрослого. После completed создаётся обычная user_session ребёнка, если у student_profile есть linked_user_id.

`user`

Статус	Значение
`pending`	аккаунт создан, нужны обязательные действия
`active`	пользователь может входить
`blocked`	вход и refresh запрещены
`deleted`	аккаунт anonymized/soft-deleted

blocked не удаляет данные и может быть снят администратором. deleted финален для пользовательского доступа.

Готовность

каждый transition проверяется сервером;
финальные статусы не возвращаются в активные без отдельной админской операции;
каждый security-relevant transition пишет audit;
фронтенд отображает все статусы без undefined-state.

Зачем нужно​

auth_flow_session​

Статусы​

Переходы​

verification_code​

user_session​

invitation​

organization​

organization_membership​

organization_ownership_claim​

organization_ownership_transfer​

organization_merge​

oauth_client​

Platform-owned runtime capabilities​

delegated_session​

child_device_authorization​

user​

Готовность​

Зачем нужно

`auth_flow_session`

Статусы

Переходы

`verification_code`

`user_session`

`invitation`

`organization`

`organization_membership`

`organization_ownership_claim`

`organization_ownership_transfer`

`organization_merge`

`oauth_client`

Platform-owned runtime capabilities

`delegated_session`

`child_device_authorization`

`user`

Готовность