⬛ TACRION v1.0 — SYSTÈME OPÉRATIONNEL — ACCÈS RESTREINT AU PERSONNEL AUTORISÉ ⬛
TACRION / ARCHITECTURE TECHNIQUE
Stack & Infrastructure

Stack éprouvé.
Infrastructure robuste.

Node.js 20 · PostgreSQL 15 · JWT · Nginx · PM2 · OVHcloud France. Une architecture battle-tested, sans sur-ingénierie, conçue pour la fiabilité opérationnelle.

4
Domaines HTTPS
10+
Endpoints API
0
Incidents prod
99.9%
SLA cible
Stack technique

Chaque composant.
Chaque décision.

// BACKEND STACK
RuntimeNode.js 20 LTS
FrameworkExpress.js 4
Base de donnéesPostgreSQL 15
ORM / Query builderpg (node-postgres)
AuthentificationJWT + bcrypt(12)
Sécurité headersHelmet.js
Rate limitingexpress-rate-limit
CORSStrict whitelist
// INFRASTRUCTURE
Reverse proxyNginx 1.18
Process managerPM2 (auto-restart)
SSL/TLSLet's Encrypt — auto
OSUbuntu 22.04 LTS
HébergementOVHcloud FR
IPv4 / IPv6Dual stack
MonitoringPM2 + /health endpoint
FrontendHTML5 / JS vanilla
// TACRION — Architecture Overview

const tacrion = {
  domains: {
    vitrine: "tacrion-industrie.eu",
    app: "app.tacrion.app",
    api: "api.tacrion.app",
    root: "tacrion.app"
  },
  modules: ["SITREP", "MAINT", "PATROL"],
  auth: "JWT + Refresh Token",
  roles: ["ADMIN", "OFFICER", "NCO", "SOLDIER"],
  db: "PostgreSQL 15 — schemas par module",
  ssl: "Let's Encrypt — expire 2026-06-06",
  uptime: "99.9% SLA"
};

// Health check
GET /health → { status: "OK", db: "connected" }

// Auth flow
POST /auth/login → { token, refreshToken }
POST /auth/refresh → { token (new) }
POST /auth/logout → { success: true }
// DOMAINES HTTPS ACTIFS
tacrion-industrie.eu ✓ SSL
tacrion.app ✓ SSL
app.tacrion.app ✓ SSL
api.tacrion.app ✓ SSL
API Reference

Endpoints
REST API

API RESTful JSON. Authentification Bearer JWT requise sur tous les endpoints protégés. Base URL : https://api.tacrion.app

Auth
POST/auth/loginAuthentification utilisateur
POST/auth/refreshRenouvellement token
POST/auth/logoutDéconnexion
GET/auth/meProfil courant
SITREP
GET/sitrepLister les rapports
POST/sitrepCréer un rapport
GET/sitrep/:idDétail d'un rapport
POST/sitrep/:id/ackAccusé de réception
DEL/sitrep/:idArchiver (admin)
MAINT
GET/maintLister les ordres
POST/maintCréer un ordre
GET/maint/:idDétail d'un ordre
POST/maint/:id/closeClôturer intervention
POST/export/maint/:idExport PDF ordre
PATROL
GET/patrolPatrouilles actives
POST/patrolCréer patrouille
POST/patrol/:id/checkinCheck-in waypoint
POST/patrol/:id/incidentSignaler incident
GET/healthStatut API
FAQ

Questions
fréquentes

Comment s'authentifier à l'API TACRION ? +
Envoyez POST /auth/login avec vos credentials pour recevoir un access token JWT (15 min) et un refresh token. Incluez le token dans l'en-tête Authorization: Bearer {token} sur toutes les requêtes protégées. Utilisez POST /auth/refresh pour renouveler sans ressaisir vos credentials.
Quelles sont les limites de rate limiting ? +
Les endpoints d'authentification sont limités à 10 requêtes/minute par IP (protection brute force). Les endpoints standards sont limités à 100 requêtes/minute par utilisateur authentifié. En cas de dépassement, l'API retourne HTTP 429 avec un header Retry-After.
L'API supporte-t-elle les webhooks ou événements temps réel ? +
Pas encore en v1.0 — l'API est REST/JSON synchrone. Les webhooks (notifications push sur création SITREP, incident PATROL, panne CRITICAL) sont prévus en v1.1 (Q4 2026). En attendant, le polling sur GET /sitrep et GET /patrol avec filtres de date permet de récupérer les nouvelles entrées.
Peut-on intégrer TACRION avec d'autres systèmes C2 ? +
L'API REST ouverte permet l'intégration avec tout système capable de faire des requêtes HTTP. Les données sont exposées en JSON standard. Pour les systèmes C2 propriétaires nécessitant des formats spécifiques (NIEM, MIL-STD), des adaptateurs sur mesure sont disponibles dans le plan Entreprise.
Comment sont gérées les versions de l'API ? +
L'API actuelle est en v1 implicite. À chaque mise à jour majeure avec changement de schéma, une v2 sera publiée en parallèle avec une période de migration de 6 mois minimum. Les changements mineurs et corrections sont déployés en continu sans interruption.
Peut-on tester l'API sans compte ? +
Seul GET /health est public. Pour tester l'API complète, contactez-nous pour obtenir des credentials de démonstration. Nous fournissons des accès temporaires permettant d'explorer tous les endpoints avec des données de test réalistes dans un environnement sandbox.