food-market

History

nns 9d48ca6483 Some checks are pending CI / Backend (.NET 8) (push) Waiting to run Details CI / Web (React + Vite) (push) Waiting to run Details CI / POS (WPF, Windows) (push) Waiting to run Details Docker API / Build + push API (push) Waiting to run Details Docker API / Deploy API on stage (push) Blocked by required conditions Details fix(rate-limit): per-username 5/мин + per-IP 30/мин — brute-force на конкретный аккаунт ловится, CI/NAT не страдают Регрессия после `ba54155`: rate-limit 5/мин per-IP сваливал stage e2e (75 тестов с одного IP, каждый по /connect/token при apiSignup → 22+ из них падали на 429 после 5-й попытки). Per-IP лимит был неправильной осью защиты. Новая стратегия в AuthRateLimiterExtensions: - Per-username (только /connect/token): 5/мин, 20/час. Защищает от перебора пароля к конкретному account независимо от IP атакующего. Username вытаскивается form-body peek-middleware'ом перед UseRateLimiter (EnableBuffering + ручной парс x-www-form-urlencoded, тело ≤4KB). - Per-IP (token+signup): 30/мин, 200/час. Защищает от спам-регистрации и от 1-IP-перебирает-тысячи-аккаунтов сценария. - Back-compat: legacy RateLimiting:PerMinute/PerHour мапятся в IP-лимит. Проверено через https://test.admin.food-market.kz: - 6 неверных попыток на ОДНУ учётку → 6-я → 429 ✓ - 8 неверных попыток на РАЗНЫЕ учётки с того же IP → все 400 (IP-лимит 30/мин не достигнут) ✓ Также добавлены verify-spec'и stage-ui-verify-pos-sync (п.14) и stage-ui-verify-stock-race (п.15). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>		2026-06-04 17:20:28 +05:00
..
e2e	fix(rate-limit): per-username 5/мин + per-IP 30/мин — brute-force на конкретный аккаунт ловится, CI/NAT не страдают	2026-06-04 17:20:28 +05:00
food-market.IntegrationTests	feat(loyalty+promotions): P2-12 + P2-13 — лояльность и промокоды (Sprint 9 п.1-2)	2026-05-31 21:06:10 +05:00
food-market.UnitTests	feat(cqrs): MediatR partial — 3 handler-образца (TD-1)	2026-05-28 17:51:08 +05:00