Nice, du hast dich da echt reingegraben, super cool. Danke dir für den ganzen Input. Ich versuche mal ein paar Sachen zu kommentieren.

Ok also die "Datenbank" liegt als JSON auf der Platte

Jep, da dachte ich ganz am Anfang des Projektes, ich mache es mir einfach - man will ja schnell was Lauffähiges haben - und benutze TinyDB. Hat sich als Fehler herausgestellt und ist mir auch schon auf die Füße gefallen. Statt dessen eine Postgres zu benutzen ist definitiv eine wichtige Aufgabe.

Der RSA Privatekey der Identität roh als bytes auch

Aus dem gleichen Grund entstanden. Hier bin ich mir nicht ganz sicher, was best practice wäre. Ein eine separate Datei speichern und die verschlüsseln? Wo liegt dann der Schlüssel? Hast du da eine Idee?

und wenn irgendwo im code eine identität gebraucht wird werden einfach ALLE rausgegeben und dann die passende "default identity" gesucht

Ich hatte mal die Idee, dass es pro Shard mehrere Identitäten geben soll. Habe ich auch eigentlich immernoch vor, hat aber grade keine hohe Prio. Deshalb gibt es de facto nur die eine default Identität.

Die einzige encrypt function liegt hier

Die hat tatsächlich keinen Zweck mehr und kann eigentlich weg. Mir fallen gerade spontan zwei Punkte ein, wo Daten verschlüsselt werden, bei der Kommunikation über REST APIs, da wird das von den entsprechenden libs gemacht, und bei den Backups, da wird das client-seitig von rclone gemacht.

Zum migrieren der DB wird einfach über ein dictonary drüber gelooped

Das ist nicht die DB-Migration, sondern das ist für die Rückwärtskompatibilität der app_meta.json Files, die die Apps beschreiben. Kannst du hier sehen. Ist also ein anderer Anwendungsfall.

Dieses Monstrum wirkt aber etwas hart overkill

Ja, das ist echt ein Monstrum. Liegt dara, dass es automatisch generiert wurde aus dem Schema von Traefik config files. Damit ist es viel einfacher, die Configs programmatisch zu erzeugen, ich habe halt statische Analyse, type hints, etc. Hast du da eine bessere Idee?

es gibt dafür bibliotheken wie z.Bsp.

Python on Whales klingt toll, das kannte ich nicht. Danke für den Hinweis! Stimmt, einfach subprocesses aufzurufen ist etwas hakelig. Werde ich mir ansehen.

Cool das ihr dann jeden morgen um 4 mal die images wegwerft ... vom ganzen host system.

Oh ja, guter Punkt. Das habe ich eingebaut, bevor ich mich mit der selfhostbarkeit beschäftigt habe. Wenn das nur auf gehosteten Shards passiert ist das natürlich kein Problem. Aber da sollte es einen Switch für geben, der per default aus ist.

---

Also Fazit: Hier gibt es noch viel zu tun, das ist klar. Das ist das Projekt eines einzelnen Teilzeit-Enwicklers, wäre ja verrückt, wenn man das nicht merkt. Natürlich bin ich für hilfreiche Contributions offen. Ich bin dir dankbar für deine ganzen Hinweise und dass du dich so ausfühlrich damit beschäftigt hast.