food-market

nns/food-market

Fork 0

Commit graph

Author	SHA1	Message	Date
nns	8e54e2e0d6	feat(s13): security headers + rate-limits + sensitive-ops audit + session revoke + Grafana Sprint 13 — security + observability deep. 7 пунктов чек-листа ✓. Подробности — docs/sprint13-progress.md и docs/food-market-server-postgres-role.md. Главное: - food-market-server (back.food-market.kz, legacy backend) теперь работает на dedicated PG-роли food_market_server_app (NOSUPERUSER / NOCREATEDB / NOCREATEROLE / NOREPLICATION / NOBYPASSRLS) с CRUD-only грантами. Раньше использовался postgres-superuser с паролем 1q2w3e4r. Бэкап конфига сохранён, rollback одной командой. - SecurityHeadersMiddleware навешивает CSP / X-Frame-Options DENY / X-Content-Type-Options nosniff / Referrer-Policy strict-origin / Permissions-Policy. HSTS 365d + includeSubDomains + preload. Те же заголовки в deploy/nginx.conf для SPA HTML. - Rate-limit: • Signup-IP — 3/час + 10/день (на stage'е переопределено через .env RATE_SIGNUP_HOUR=30 чтобы не ломать e2e). • Forgot-password — per-email 3/час + per-IP 10/час. - SensitiveOpsAudit сервис, wired в: • TwoFactor enroll/disable • Employees.Update при смене RoleId (action=AssignRole, payload с prev/next role + полный RolePermissions) • MeAccount.ChangePassword (новый endpoint) • MeSessions.RevokeAll (новый endpoint) - POST /api/me/sessions/revoke-all — через IOpenIddictAuthorizationManager.FindBySubjectAsync + TryRevokeAsync. Integration-тест: refresh после revoke → 400/401. - Hangfire dashboard — nginx-route добавлен (раньше /hangfire ловился SPA-fallback'ом). Фильтр SuperAdmin'ом уже был. Тест: anon/tenant → 401/403/404. - Grafana dashboard JSON (deploy/grafana/dashboards/food-market.json, 9 панелей) + инструкции импорта в docs/observability.md. Проверено на stage'е: все 6 security-заголовков видны на /; /hangfire → 401 (закрыт); 4-я форгот → 429; stage-smoke (5 этапов) ✓. Тесты: 68 unit + 9 integration (включая 3 новых: SessionRevokeTests, HangfireAccessTests). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-06-07 12:30:10 +05:00
nns	824ef8279c	feat(observability): Prometheus метрики /metrics + бизнес-счётчики (P1-17) prometheus-net.AspNetCore@8.2.1 + EF Core DbCommandInterceptor. Endpoint: GET /metrics (text exposition, без auth — типичная практика; на prod закроем nginx allow private-network). Стандартные метрики (через UseHttpMetrics): - http_requests_received_total (code/method/controller/action) - http_request_duration_seconds (histogram, p50/p95/p99 SLO) - process_cpu_seconds_total / dotnet_total_memory_bytes / GC counters Кастомные бизнес-метрики (AppMetrics): - food_market_documents_posted_total{type} — все типы документов - food_market_sales_posted_total — alias по retail-sale (явно в SLO) - food_market_supplies_posted_total — alias по supply - food_market_documents_error_total{type, reason} — ошибки проведения с разбивкой по причине (serialization=40001, insufficient_stock, number_conflict, validation, other) - food_market_db_query_duration_seconds{kind} — гистограмма SQL через DbMetricsInterceptor (kind=query для SELECT, command для CUD) Tenant-меток в кастомных метриках НЕТ сознательно: на multi-tenant хосте раздуло бы cardinality. Per-org разрез — через /api/reports/*. Counters добавлены в: - SuppliesController.Post (success + serialization-error) - RetailSalesController.Post (success) - PosController.CreateAndPostSaleAsync (success + number_conflict) docs/observability.md — scrape-конфиг prometheus.yml, образец Grafana dashboard (4 ряда: Health/Business/Database/Runtime), prometheus rules с alert'ами (HighErrorRate, DbSerializationContention, NoSalesIn30Min). Тесты: 3 интеграционных (endpoint доступен и возвращает text/plain с встроенными метриками; sales counter инкрементится после Post; db_query гистограмма накапливается). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-28 12:20:01 +05:00

Author

SHA1

Message

Date

nns

8e54e2e0d6

feat(s13): security headers + rate-limits + sensitive-ops audit + session revoke + Grafana

Sprint 13 — security + observability deep. 7 пунктов чек-листа ✓.

Подробности — docs/sprint13-progress.md и docs/food-market-server-postgres-role.md.

Главное:
- food-market-server (back.food-market.kz, legacy backend) теперь
  работает на dedicated PG-роли food_market_server_app (NOSUPERUSER /
  NOCREATEDB / NOCREATEROLE / NOREPLICATION / NOBYPASSRLS) с CRUD-only
  грантами. Раньше использовался postgres-superuser с паролем 1q2w3e4r.
  Бэкап конфига сохранён, rollback одной командой.
- SecurityHeadersMiddleware навешивает CSP / X-Frame-Options DENY /
  X-Content-Type-Options nosniff / Referrer-Policy strict-origin /
  Permissions-Policy. HSTS 365d + includeSubDomains + preload.
  Те же заголовки в deploy/nginx.conf для SPA HTML.
- Rate-limit:
  • Signup-IP — 3/час + 10/день (на stage'е переопределено через
    .env RATE_SIGNUP_HOUR=30 чтобы не ломать e2e).
  • Forgot-password — per-email 3/час + per-IP 10/час.
- SensitiveOpsAudit сервис, wired в:
  • TwoFactor enroll/disable
  • Employees.Update при смене RoleId (action=AssignRole,
    payload с prev/next role + полный RolePermissions)
  • MeAccount.ChangePassword (новый endpoint)
  • MeSessions.RevokeAll (новый endpoint)
- POST /api/me/sessions/revoke-all — через
  IOpenIddictAuthorizationManager.FindBySubjectAsync + TryRevokeAsync.
  Integration-тест: refresh после revoke → 400/401.
- Hangfire dashboard — nginx-route добавлен (раньше /hangfire ловился
  SPA-fallback'ом). Фильтр SuperAdmin'ом уже был. Тест: anon/tenant →
  401/403/404.
- Grafana dashboard JSON (deploy/grafana/dashboards/food-market.json,
  9 панелей) + инструкции импорта в docs/observability.md.

Проверено на stage'е: все 6 security-заголовков видны на /;
/hangfire → 401 (закрыт); 4-я форгот → 429; stage-smoke (5 этапов) ✓.

Тесты: 68 unit + 9 integration (включая 3 новых: SessionRevokeTests,
HangfireAccessTests).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-07 12:30:10 +05:00

nns

824ef8279c

feat(observability): Prometheus метрики /metrics + бизнес-счётчики (P1-17)

prometheus-net.AspNetCore@8.2.1 + EF Core DbCommandInterceptor.

Endpoint: GET /metrics (text exposition, без auth — типичная практика;
на prod закроем nginx allow private-network).

Стандартные метрики (через UseHttpMetrics):
- http_requests_received_total (code/method/controller/action)
- http_request_duration_seconds (histogram, p50/p95/p99 SLO)
- process_cpu_seconds_total / dotnet_total_memory_bytes / GC counters

Кастомные бизнес-метрики (AppMetrics):
- food_market_documents_posted_total{type} — все типы документов
- food_market_sales_posted_total — alias по retail-sale (явно в SLO)
- food_market_supplies_posted_total — alias по supply
- food_market_documents_error_total{type, reason} — ошибки проведения
  с разбивкой по причине (serialization=40001, insufficient_stock,
  number_conflict, validation, other)
- food_market_db_query_duration_seconds{kind} — гистограмма SQL через
  DbMetricsInterceptor (kind=query для SELECT, command для CUD)

Tenant-меток в кастомных метриках НЕТ сознательно: на multi-tenant хосте
раздуло бы cardinality. Per-org разрез — через /api/reports/*.

Counters добавлены в:
- SuppliesController.Post (success + serialization-error)
- RetailSalesController.Post (success)
- PosController.CreateAndPostSaleAsync (success + number_conflict)

docs/observability.md — scrape-конфиг prometheus.yml, образец Grafana
dashboard (4 ряда: Health/Business/Database/Runtime), prometheus rules
с alert'ами (HighErrorRate, DbSerializationContention, NoSalesIn30Min).

Тесты: 3 интеграционных (endpoint доступен и возвращает text/plain с
встроенными метриками; sales counter инкрементится после Post; db_query
гистограмма накапливается).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-28 12:20:01 +05:00

2 commits