rubis

ordinarthur/rubis

Fork 0

Commit Graph

Author	SHA1	Message	Date
ordinarthur	5b8898ba9c	test(auth): enrichit l'assertion signup duplicate email (format de réponse) All checks were successful Build & Deploy API / build-and-deploy (push) Successful in 1m18s Details Le test "refuse un email déjà pris" vérifiait seulement `assertStatus(422)`. On enrichit pour vérifier la shape complète : - body.errors est un array non-vide - au moins une entrée a `field === 'email'` - cette entrée a un code et un message strings Pourquoi : un mutation test du 2026-05-18 a révélé qu'un simple `assertStatus(422)` laissait passer le retrait du `.unique()` côté validator Vine — la contrainte DB UNIQUE(email) prenait le relais silencieusement via le handler PG 23505, qui renvoie le même 422. Apprentissage : .unique() Vine et DB unique sont équivalents côté contrat API (le handler `23505` met `field='email'` identique). Le .unique() Vine est donc une optimisation (skip round-trip DB) plutôt qu'une garantie de sécurité. On garde la double protection comme best practice (defense-in-depth). Le test enrichi ne catche pas le retrait du .unique() spécifiquement (les 2 paths sont indistinguables côté client) MAIS catche des régressions plus graves : - Si le handler 23505 casse → 500 au lieu de 422 - Si `field` n'est plus posé → SPA ne peut plus highlight l'input - Si la shape {errors:[...]} change → contrat API cassé Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-18 17:04:08 +02:00
ordinarthur	fc66d80f56	test(api): setup Japa + tests fonctionnels auth (signup/login/logout/onboarding) Setup : - .env.test étoffé : DRIVE_DISK=fs, MAIL_DRIVER=smtp local, OCR_PROVIDER=mock. Réutilise la DB rubis_dev avec global transactions par test (rollback auto, isolation parfaite). - Schedulers (relance + checkin) détectent NODE_ENV=test et skippent BullMQ.add. Les tasks DB sont quand même créées (utiles pour assertions) mais aucun job orphelin n'arrive en Redis après rollback de tx. - helpers/auth.ts : factory createTestUser() qui crée org + user + 4 plans pré-fournis dans une tx, retourne user/org/accessToken/bearer header. createTwoOrgs() pour les tests cross-org à venir. Tests fonctionnels auth (tests/functional/auth.spec.ts) : - Signup : crée user + org + 4 plans pré-fournis (vérifie les slugs), refuse email mal formé / password court / email déjà pris - Login : émet AuthSession avec credentials valides, rejette mauvais password / email inconnu - Bearer auth : 401 sans token, 401 avec token bidon, 200 avec token valide - Logout : révoque le token courant, requêtes suivantes en 401 - Onboarding : PATCH /organizations/me pose onboardingCompletedAt à la 1re mise du nom, idempotent ensuite Pour lancer : `pnpm -F api test`	2026-05-06 15:45:11 +02:00

Author

SHA1

Message

Date

ordinarthur

5b8898ba9c

test(auth): enrichit l'assertion signup duplicate email (format de réponse)

Build & Deploy API / build-and-deploy (push) Successful in 1m18s

Details

Le test "refuse un email déjà pris" vérifiait seulement `assertStatus(422)`.
On enrichit pour vérifier la shape complète :
  - body.errors est un array non-vide
  - au moins une entrée a `field === 'email'`
  - cette entrée a un code et un message strings

Pourquoi : un mutation test du 2026-05-18 a révélé qu'un simple
`assertStatus(422)` laissait passer le retrait du `.unique()` côté
validator Vine — la contrainte DB UNIQUE(email) prenait le relais
silencieusement via le handler PG 23505, qui renvoie le même 422.

Apprentissage : .unique() Vine et DB unique sont équivalents côté
contrat API (le handler `23505` met `field='email'` identique). Le
.unique() Vine est donc une optimisation (skip round-trip DB) plutôt
qu'une garantie de sécurité. On garde la double protection comme
best practice (defense-in-depth).

Le test enrichi ne catche pas le retrait du .unique() spécifiquement
(les 2 paths sont indistinguables côté client) MAIS catche des
régressions plus graves :
  - Si le handler 23505 casse → 500 au lieu de 422
  - Si `field` n'est plus posé → SPA ne peut plus highlight l'input
  - Si la shape {errors:[...]} change → contrat API cassé

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-18 17:04:08 +02:00

ordinarthur

fc66d80f56

test(api): setup Japa + tests fonctionnels auth (signup/login/logout/onboarding)

Setup :
- .env.test étoffé : DRIVE_DISK=fs, MAIL_DRIVER=smtp local, OCR_PROVIDER=mock. Réutilise la DB rubis_dev avec global transactions par test (rollback auto, isolation parfaite).
- Schedulers (relance + checkin) détectent NODE_ENV=test et skippent BullMQ.add. Les tasks DB sont quand même créées (utiles pour assertions) mais aucun job orphelin n'arrive en Redis après rollback de tx.
- helpers/auth.ts : factory createTestUser() qui crée org + user + 4 plans pré-fournis dans une tx, retourne user/org/accessToken/bearer header. createTwoOrgs() pour les tests cross-org à venir.

Tests fonctionnels auth (tests/functional/auth.spec.ts) :
- Signup : crée user + org + 4 plans pré-fournis (vérifie les slugs), refuse email mal formé / password court / email déjà pris
- Login : émet AuthSession avec credentials valides, rejette mauvais password / email inconnu
- Bearer auth : 401 sans token, 401 avec token bidon, 200 avec token valide
- Logout : révoque le token courant, requêtes suivantes en 401
- Onboarding : PATCH /organizations/me pose onboardingCompletedAt à la 1re mise du nom, idempotent ensuite

Pour lancer : `pnpm -F api test`

2026-05-06 15:45:11 +02:00

2 Commits