History

nns 9d48ca6483 Some checks are pending CI / Backend (.NET 8) (push) Waiting to run Details CI / Web (React + Vite) (push) Waiting to run Details CI / POS (WPF, Windows) (push) Waiting to run Details Docker API / Build + push API (push) Waiting to run Details Docker API / Deploy API on stage (push) Blocked by required conditions Details fix(rate-limit): per-username 5/мин + per-IP 30/мин — brute-force на конкретный аккаунт ловится, CI/NAT не страдают Регрессия после `ba54155`: rate-limit 5/мин per-IP сваливал stage e2e (75 тестов с одного IP, каждый по /connect/token при apiSignup → 22+ из них падали на 429 после 5-й попытки). Per-IP лимит был неправильной осью защиты. Новая стратегия в AuthRateLimiterExtensions: - Per-username (только /connect/token): 5/мин, 20/час. Защищает от перебора пароля к конкретному account независимо от IP атакующего. Username вытаскивается form-body peek-middleware'ом перед UseRateLimiter (EnableBuffering + ручной парс x-www-form-urlencoded, тело ≤4KB). - Per-IP (token+signup): 30/мин, 200/час. Защищает от спам-регистрации и от 1-IP-перебирает-тысячи-аккаунтов сценария. - Back-compat: legacy RateLimiting:PerMinute/PerHour мапятся в IP-лимит. Проверено через https://test.admin.food-market.kz: - 6 неверных попыток на ОДНУ учётку → 6-я → 429 ✓ - 8 неверных попыток на РАЗНЫЕ учётки с того же IP → все 400 (IP-лимит 30/мин не достигнут) ✓ Также добавлены verify-spec'и stage-ui-verify-pos-sync (п.14) и stage-ui-verify-stock-race (п.15). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>		2026-06-04 17:20:28 +05:00
..
lib	test(ui-deep): items 6-9 — Supply/RetailSale/InventoryDocs/Reports	2026-05-30 13:37:01 +05:00
reports	test(stage): пункт 14 — POS Sync API 7/7 ✓ (sync + sales с idempotency)	2026-05-29 17:53:08 +05:00
scenarios	fix(rate-limit): per-username 5/мин + per-IP 30/мин — brute-force на конкретный аккаунт ловится, CI/NAT не страдают	2026-06-04 17:20:28 +05:00
scripts	docs(sprint7): пункты 6-7 ✓ + итог по спринту	2026-05-30 11:52:00 +05:00
.gitignore	feat(e2e): infrastructure + first full-cycle scenario + baseline report	2026-05-08 00:05:52 +05:00
package.json	test(ui-deep): setup + Item 1 — signup flow (5 specs)	2026-05-30 12:33:10 +05:00
playwright.config.ts	test(ui-deep): setup + Item 1 — signup flow (5 specs)	2026-05-30 12:33:10 +05:00
pnpm-lock.yaml	test(ui-deep): setup + Item 1 — signup flow (5 specs)	2026-05-30 12:33:10 +05:00
README.md	feat(e2e): infrastructure + first full-cycle scenario + baseline report	2026-05-08 00:05:52 +05:00
run.sh	feat(e2e): infrastructure + first full-cycle scenario + baseline report	2026-05-08 00:05:52 +05:00
runner.ts	feat(e2e): infrastructure + first full-cycle scenario + baseline report	2026-05-08 00:05:52 +05:00
tsconfig.json	feat(e2e): infrastructure + first full-cycle scenario + baseline report	2026-05-08 00:05:52 +05:00

README.md

tests/e2e

Декларативные end-to-end сценарии. Один YAML описывает шаги, TypeScript-handler — конкретные API/UI/DB-проверки. Отчёт в Markdown.

Запуск

tests/e2e/run.sh full-cycle              # полный прогон (API + UI)
tests/e2e/run.sh full-cycle --api-only   # без Playwright, только axios + DB

Первый запуск установит node_modules/ (axios, pg, playwright, js-yaml, tsx).

Отчёт: tests/e2e/reports/<scenario>-<timestamp>.md.

Структура

tests/e2e/
├── runner.ts              # entry: парсит YAML, прогоняет steps, пишет report
├── run.sh                 # wrapper: pnpm install + tsx
├── lib/
│   ├── api.ts             # axios + login()
│   ├── db.ts              # docker exec psql, resetTenantData(), countRows()
│   └── report.ts          # markdown-аккумулятор
└── scenarios/
    ├── full-cycle.yml          # декларация шагов
    └── full-cycle.steps.ts     # код handler'ов

Preconditions

Поле reset_db: true в YAML вызывает resetTenantData() в lib/db.ts. Что чистится:

Tenant-таблицы (organizations, employees, supplies, retail_sales, …) — TRUNCATE … CASCADE.
AspNetUsers / users / AspNetUserRoles — оставляем только admin@food-market.local.
OpenIddict tokens — все valid → revoked.

Что НЕ чистится (берегём как baseline):

Реестр товаров: products, product_groups, units_of_measure, product_packagings, product_barcodes, product_prices, product_images.
Системные справочники: countries, currencies, price_types, employee_roles.
__EFMigrationsHistory, OpenIddict* таблицы (структура), platform_settings, system_settings.

После TRUNCATE — smoke login(admin@food-market.local). Если падает — runner выходит с кодом 3.

Добавление сценария

scenarios/<name>.yml — мета + список steps[].id.
scenarios/<name>.steps.ts — экспортируй функции с теми же id (async function stepXX_foo({ ctx, step, report })).
Запусти tests/e2e/run.sh <name>.

ctx — общий объект между шагами для прокидывания id'ов созданных сущностей и токенов сессий.

step.checks — массив проверок (api/ui/db). Если хоть одна ok=false — шаг помечен как fail.

report.bug() / report.ux() / report.gap() / report.perf() — категоризованные находки в финальной секции.

Зависимости

Postgres контейнер food-market-postgres (psql вызывается через docker exec).
API на https://admin.food-market.kz (или E2E_ADMIN_URL env).
Playwright headless chromium для UI-проверок (pnpm exec playwright install chromium если нет).

README.md Unescape Escape