ASP.NET Core convention для HttpX-атрибутов: `~/path` означает
'absolute from root, ignore class [Route]'. До фикса генератор клеил
`base-route` + `~/path` → невалидный `/~/connect/token`.
Теперь tilde корректно срезается, /connect/token виден в reference.
Также добавлен unit test ApiReferenceDocsJobTests (Sprint 28) для
lock-down regex behavior на double-nested generics.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Гарантирует, что Sprint 28 fix регекса для doubly-nested generics
(Task<ActionResult<PagedResult<X>>>) не регрессирует. Создаёт временный
controller-файл с 3 endpoint'ами разных типов, прогоняет GenerateAsync,
ждёт count==3 и наличие routes в output-markdown'е.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Найдено в Sprint 28 security audit: stage отдаёт security-заголовки
(CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy и др.), но
БЕЗ Strict-Transport-Security. HSTS из ASP.NET Core (Program.cs UseHsts)
не срабатывает потому что api за nginx-прокси видит запрос как HTTP
(нет ForwardedHeaders middleware'a; nginx X-Forwarded-Proto не дешифруется).
Простейший фикс: добавить HSTS в deploy/nginx.conf (web-контейнер).
Brower honors HSTS только на HTTPS-ответах — безопасно unconditional.
max-age=2592000 (30 дней), без includeSubDomains и без preload —
pre-emptive consent, можно безопасно убрать. Когда production stack
устаканится и admin.food-market.kz будет подан в hstspreload.org —
увеличить до 31536000 + preload + includeSubDomains.
Verified:
curl -I https://test.admin.food-market.kz/ | grep -i strict
> strict-transport-security: max-age=2592000
Integration test 08-security-headers.spec.ts проверяет 7 security-
заголовков на главной + на 404 (always-параметр).
Cert: 10/10 integration tests passed in 1.3m.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Overnight progress while 4h-soak runs in background:
1. ApiReferenceDocsJob.cs + scripts/gen-api-reference.py — return-type
regex теперь ловит nested generics любой глубины. Было 195
endpoint'ов в auto-gen reference; стало 240 (+45). EmployeesController
GET /api/organization/employees был пропущен из-за
Task<ActionResult<PagedResult<EmployeeDto>>>.
2. docs/observability.md — добавлен food_market_disk_free_bytes (Sprint 20)
+ раздел "quality-watchdog метрики" (5 метрик textfile exporter'a из
Sprint 26: run_total, step_failure_total, endpoint_p95_ms,
last_run_status, incidents_total). Готовые dashboards теперь содержат
оба JSON (food-market.json + quality-watchdog.json).
3. tests/integration/07-import-export-flows.spec.ts — POST 1C-CSV import
(semicolon-CSV cp1251) → создаются продукты с группой автоматом;
POST /api/org/export (НЕ /api/admin/org-export) → возвращает
{id, status}; orgB не видит export orgA. Прогон 8.2s.
4. tests/food-market.IntegrationTests/PruneQualityTestOrgsTests.cs —
2 [Fact]'a для метода из Sprint 25. Удаляет только quality-* старше
threshold, не трогает реальные org. Требует Testcontainers.
5. .forgejo/workflows/regression.yml — добавлен шаг integration suite
после flows+visual. Telegram: "35 flows + 60 visual + 8 integration".
Soak-real (4h @ 50 RPS) запущен в setsid-detach session, продолжается.
Итоговые числа добавлю в sprint28-progress.md после завершения.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Sprint 23 (adversarial): атаковали систему как недоброжелатель.
Найдено 4 бага, все починены.
Bug #001 (Medium): NULL-byte в Product.Name вызывал 500 без тела.
Postgres TEXT не принимает \x00. Добавил NoControlChars() в
ProductInputValidator + CounterpartyInputValidator.
Bug #002 (Low): ProductInputValidator MaximumLength(200) конфликтовал
со StringLength(500) в DTO и schema HasMaxLength(500). Сделал 500
везде. Counterparty: 200 → 255 (matches HasMaxLength).
Bug #003 (CRITICAL): параллельные posting'и под Serializable выбрасывали
PostgresException 40001 → middleware → 500 empty body. Добавил
SerializationConflictMiddleware который мапит 40001 → 409 Conflict
с {error, retryable: true}. Также SerializableRetry helper для
явного retry внутри endpoint'ов с exp backoff. Применил retry-wrap
к RetailSalesController.Post (PostCoreAsync extracted).
Bug #004 (Low): цена 0.0000001 округлялась до 0 уже после прохождения
required-price check (check был ДО RoundIfNeeded). FindMissing-
RequiredPriceAsync теперь округляет перед сравнением — required
цена реально > 0 после rounding.
Bug reports: tests/e2e/reports/bugs/bug-00[1-4]-*.md (github-issue format).
Multi-tenant attacks (cat 3): clean — все cross-org GET/PUT/DELETE
дают 404, bulk-update affected=0, lists не утекают.
Auth-edge (cat 2): clean — JWT tampering 401, garbage 401, CORS evil.com
не получает allow-origin, fake refresh 400 invalid_grant.
DOS (cat 7): clean — 50MB body 413, 200 headers 431, long URL 200.
Hangfire safety (cat 8): clean — regular Admin → /hangfire 403,
seed-demo использует tenant context, body org-id игнорируется.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Последний автономный спринт. После этого watchdog молчит — все
оставшиеся задачи требуют user-decisions / credentials / Windows-машины.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- Parse1cCsv ловил Windows-1251 на UTF-8 bodies без BOM. Теперь
смотрит Content-Type charset первым, потом BOM, потом WIN-1251.
- Migration Phase22a_OrgExports забыл UpdatedAt колонку (Entity base
имеет её). ADD COLUMN IF NOT EXISTS внутри миграции для уже
созданных таблиц.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
При первом деплое /api/employees вернул 404 — реальный endpoint
/api/organization/employees. Также DTO содержит lastName/firstName/
middleName отдельно, не fullName — собираем строку на клиенте.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Sprint 16 — постоянный regression-контур: flows + visual + nightly +
CI workflow + README badges.
Ключевые цифры:
- 35 flow-тестов: 35/35 ✓ за ~30 секунд (workers=2 локально).
- 60 visual snapshot'ов (15 страниц × 2 темы × 2 viewport'a):
60/60 ✓ за ~4 минуты с retries=1.
- Полный регресс прогон: ~5 минут (цель была < 15).
Что сделано:
1. tests/regression/ — Playwright + factories + 8 spec-файлов.
OrgFactory builder создаёт org через API за O(N) HTTP вызовов
(signup → token → refs → products → counterparties → posted supplies).
Каждый flow независим, использует свой fresh-org.
2. tests/regression/visual/ — 15 страниц × 2 темы × 2 viewport'a.
Маски на динамический контент (артикулы с Date.now, KPI'ы,
delta-стрелки) чтобы 0.2% threshold не флакал. snapshotPathTemplate
c {projectName} — desktop+mobile не затирают друг друга.
3. tests/regression/factories/OrgFactory.ts — builder с .withProducts
.withCounterparties .withSupplies. Retry signup'a на 429.
4. .forgejo/workflows/regression.yml — on workflow_run после
Docker API/Web; cache на pnpm-store + Playwright-browsers;
артефакты при failure; Telegram-уведомление в обоих случаях.
5. ~/nightly-verify.sh + cron `0 4 * * *`: health → redeploy если
нужно → smoke flows; в воскресенье полный flows+visual. Логи с
ротацией 14 дней. Telegram на провал (~/.fm-watchdog/telegram-*).
6. scripts/generate-badges.sh — coverage из cobertura.xml в SVG через
shields.io (offline fallback). 4 CI-status badge + coverage badge в
README; CI step «Update coverage badge» авто-коммитит обновлённый
SVG на push в main.
Локальное число flake'ов: 1/60 visual на retry=1 (product-new light) —
случайная гонка маски, retry'ит и проходит.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Sprint 11 — каркас для интеграции с операторами фискальных данных РК.
Реальные ApiKey'и появятся у user'а позже; задача — построить такой
фрейм, чтобы подключение оператора сводилось к вписыванию кредов в UI
без правок кода/деплоя.
Что сделано:
- IFiscalProvider (Application/Common/Fiscal) + FiscalResult,
FiscalProviderKind (None/Mock/Webkassa/Kassa24/OfdSolo),
IFiscalProviderFactory, FiscalNotConfiguredException.
- 4 реализации в Infrastructure/Fiscal:
• MockFiscalProvider — фейк MOCK-<8hex> через 300мс, идемпотентный
по Sale.Id (используется dev/stage и интеграционными тестами);
• WebkassaProvider — полный HTTP-pipeline Authorize→Check, парсинг
JSON-ответа, NDS-в-ставке, retry-safe через ExternalCheckNumber;
• Kassa24Provider / OfdSoloProvider — скелет с тем же контрактом,
RegisterAsync бросает FiscalNotConfiguredException (нужны
спецификации API от user'а, NDA-only).
- Миграция Phase11a: 5 колонок в retail_sales (FiscalNumber, QrCode,
Url, ProviderTxId, ProviderKind) + 5 в organizations (FiscalProvider
NOT NULL default 0, ApiKey/Secret encrypted, CashboxUniqueNumber,
ApiBaseUrl). Default 0 = обратная совместимость, существующие чеки
и продажи без фискализации работают как раньше.
- RetailSalesController.Post — TryFiscalizeAsync после commit'а
stock-транзакции. Best-effort: сетевые/HTTP-ошибки логируются, чек
остаётся проведённым. Идемпотентность по IsNullOrEmpty(FiscalNumber).
- OrgFiscalSettingsController: GET/PUT настройки + GET /providers
(опции для select'а) + POST /test-send (фейк-чек к выбранному
провайдеру, не сохраняет в БД).
- UI: FiscalSection в OrganizationSettingsPage с password-input'ами
для ApiKey/Secret (шифруются DataProtection.purpose=foodmarket.fiscal,
в GET — только has-* флаги), спец-значение "__clear__" для снятия,
кнопка «Тестовая отправка».
- Тесты: 11 unit (Mock 5 + Webkassa payload 6) + 3 integration
(Mock сохраняет FiscalNumber, test-send даёт MOCK-номер, None
не фискализует).
- docs/ofd-integration.md — гид с архитектурой, шагами подключения
Webkassa (полный pap), TODO для Касса24/ОФД-Соло, безопасностью
кредов, retry-сценариями.
Все 68 unit + 8 integration в Fiscal/Loyalty/RetailOversell — зелёные.
Web vite build — зелёный.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
S10-3: командная палитра для быстрой навигации и поиска.
Backend GlobalSearchController:
- GET /api/search/global?q=… ищет в 3 источниках: товары (name/article/
barcode startsWith), контрагенты (name/bin contains), документы
(Supply.Number, RetailSale.Number, Demand.Number) — по ≤5 в каждой
группе. Tenant-scoped, требует ≥2 символа в q.
- Lower-cased contains; EF8 OrderBy на record-projection ломается,
поэтому проектируем в anonymous, потом маппим в DocumentHit.
Frontend CommandPalette.tsx:
- Глобальный хоткей Cmd+K / Ctrl+K (listener на document в AppLayout).
- Статический список 20 страниц для навигации без меню (даже без API).
- Дебаунс query 200мс → GET /api/search/global при q ≥ 2 символов.
- Recent items: localStorage 'fm.cmdk.recent', последние 10 выбранных
показываются когда q пустой.
- Подсветка совпадений через RegExp split + <mark>.
- Хоткеи: ↑↓ Enter Esc; группированный список (Recent / Pages /
Товары / Контрагенты / Документы).
Проверено на стэйдже: q='колбас' → 3 продукта, q='Алматы' →
2 контрагента (поставщики), q='ПР-Y1-00019' → 5 retail-sale.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Финал верификационного спринта:
- 4 предварительных бага (A=rate-limit, B=/metrics SPA fallback, C=/swagger
SPA fallback, D=Swagger off в Production) reproduce → fix → retest зелёный.
- Полный stage-ui suite на test.admin.food-market.kz: 77/77 пройдено
(включая stage-ui-13-multitenant 5/5, stage-ui-14-mobile 5/5, signalr,
i18n, loyalty, PWA, MinIO, telegram-status).
- Добавлены 3 новых verify-спека:
- V-13 stage-ui-verify-csv-import: загрузка CSV в /inventory/inventories
через UI setInputFiles на hidden file-input, актуализация actualQty/diff,
Ctrl+S → PUT → /post → стоимость пересчитана, stock корректируется.
- V-14 stage-ui-verify-pos-sync: POST /api/pos/v1/sales с
idempotencyKey; повтор того же body+ключа → replayedFromCache=true,
тот же serverSaleId. Detail GET показывает notes=pos:<csid-N>.
- V-15 stage-ui-verify-stock-race: 5 параллельных Post(qty=1)
на остаток=3 → ровно 3×204 + 2×409 с 'Недостаточно остатка',
final Stock=0.
- Manual: smtp4dev на dev-vm:1025, SuperAdmin PUT
/api/super-admin/platform-settings, employee createAccount+sendInvite
→ invite email с HTML body; forgot-password → text email с reset-token.
После проверки SMTP сброшен в not-configured.
Сводка в docs/verify-progress.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
После предыдущего фикса 5/мин per-username — per-IP 30/мин всё равно
ломал stage e2e (multi-tenant специ делают 4 signup+token подряд →
накапливается за минуту). Поднял до 60/мин token, 600/час; per-username
5/мин остаётся как анти-bruteforce.
Также: playwright.config.ts добавлен locale: 'ru-RU' — без этого
Chromium шлёт en-US, i18next отдаёт английский sidebar, а тесты ищут
русские лейблы (2.2 'Главная', 6.1 'Поставщик/Склад/Дата').
Verify-spec'и V-14 (POS Sync) и V-15 (Stock race) — починены payload'ы
под актуальную схему API (/api/catalog/stores не /api/inventory/stores,
quantity не qty, unitCost не costPrice, polnyy retail-sale body с
retailPointId/currencyId/payment/isReturn). Проверено:
- V-14: 1-й POS-батч 200 (accepted=1), 2-й replayedFromCache=true с тем
же serverSaleId; detail GET показывает notes=pos:<csid-N> ✓
- V-15: 5 параллельных Post на остаток=3 → ровно 3 успешных (204), 2
конфликта (409 'Недостаточно остатка'). Stock=0 после dust settles. ✓
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Регрессия после ba54155: rate-limit 5/мин per-IP сваливал stage e2e
(75 тестов с одного IP, каждый по /connect/token при apiSignup → 22+
из них падали на 429 после 5-й попытки). Per-IP лимит был
неправильной осью защиты.
Новая стратегия в AuthRateLimiterExtensions:
- Per-username (только /connect/token): 5/мин, 20/час. Защищает от
перебора пароля к конкретному account независимо от IP атакующего.
Username вытаскивается form-body peek-middleware'ом перед UseRateLimiter
(EnableBuffering + ручной парс x-www-form-urlencoded, тело ≤4KB).
- Per-IP (token+signup): 30/мин, 200/час. Защищает от спам-регистрации
и от 1-IP-перебирает-тысячи-аккаунтов сценария.
- Back-compat: legacy RateLimiting:PerMinute/PerHour мапятся в IP-лимит.
Проверено через https://test.admin.food-market.kz:
- 6 неверных попыток на ОДНУ учётку → 6-я → 429 ✓
- 8 неверных попыток на РАЗНЫЕ учётки с того же IP → все 400 (IP-лимит 30/мин не достигнут) ✓
Также добавлены verify-spec'и stage-ui-verify-pos-sync (п.14) и
stage-ui-verify-stock-race (п.15).
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Verify-Sprint баги A-D:
- A: на stage docker-compose.yml был "RateLimiting__PerMinute=200" — убран,
теперь работают дефолты (5/мин, 20/час). 6-я попытка с тем же IP/паролем → 429.
- B: web-контейнер nginx не имел location = /metrics → запрос ловился SPA
fallback'ом (index.html, 947 байт). Добавлен proxy_pass на api:8080.
- C: web-nginx не имел location /swagger/ → swagger.json возвращал SPA HTML.
Добавлены /swagger/ + редирект /swagger → /swagger/.
- D: Swagger подключался только в Development. Добавлен флаг IncludeSwagger
(env IncludeSwagger=true) — Program.cs включает UseSwagger() и в Production
если флаг выставлен. На prod admin.food-market.kz флаг не ставим.
Проверено через https://test.admin.food-market.kz:
- 6 неверных логинов подряд: 1-5 → 400, 6-7 → 429 ✓
- /metrics → 14967 байт prometheus exposition ✓
- /swagger/v1/swagger.json → 422 КБ openapi 3.0.1 ✓
- /swagger/ → swagger-ui (redirect на /swagger/index.html) ✓
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
SignalR через web sockets/long-poll стримит данные, его нельзя кешировать.
В пред-версии SW не интерсептировал POST, но GET-fetch для negotiate
проходил через SW pipeline и валился TypeError'ом.
Фикс: явный return на /hubs/* перед всеми стратегиями.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Backend:
- src/food-market.api/Storage/IObjectStorage.cs — абстракция
(SaveAsync, OpenAsync, DeleteAsync, PublicUrl). Имя реализации (Kind)
для логов.
- LocalObjectStorage — ContentRoot/uploads/{key}. По умолчанию.
- MinioObjectStorage — S3-совместимый bucket, ключ-объекта совпадает с
тем что хранится в БД (products/{id:N}/{guid}.png). PutObject с явным
size (для NetworkStream копируем в MemoryStream).
- StorageOptions: Type=Local|Minio, Endpoint, AccessKey, SecretKey,
UseSsl, Bucket=food-market-uploads.
- StorageBootstrap.AddObjectStorage — DI-регистрация с runtime fallback
на Local если MinIO-config пустой; MinioBootstrap (IHostedService)
создаёт bucket на старте, ловит ошибку и не валит API.
- UploadsController: GET /uploads/{**path} → стримит из IObjectStorage
(cache-control 7 дней). Нужен когда MinIO активен — для Local nginx
раздаёт быстрее, но фолбэк работает.
- ProductImagesController отрефакторен на IObjectStorage; URL'ы в БД
остаются /uploads/products/{id}/{guid}.ext.
Тесты:
- StorageAbstractionTests (3/3 ✓): Local default, round-trip bytes,
PublicUrl pattern.
Stage-готовность:
- deploy/docker-compose.yml на стейдже обновлён (через scp): добавлен
minio container, depends_on в api, env переменные Storage__*.
Bucket автосоздаётся.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
