Add a 4-layer test stack covering RLS, triggers, and UI flows for Fases 0–2a, then restructure every plan file so future fases start with tests and end with a verification gate. Test suite - packages/test-utils: Vitest integration tests signing HS256 JWTs via jose so each test acts as a specific seed user (createClientAs + createAdminClient) - supabase/tests: pgTAP for accept_invitation(), item_frequency trigger, and promote-on-admin-leave; each file self-installs pgtap extension - apps/web/tests: Playwright E2E with live Keycloak login per test (storageState caching doesn't rehydrate Supabase's session state reliably) - just test-all chains the three suites; test-db forwards POSTGRES_PASSWORD as PGPASSWORD with ON_ERROR_STOP=1 so failures abort the chain Supabase auth gotcha - PostgREST queries inside onAuthStateChange deadlock on GoTrue's navigator.locks auth lock (getAccessToken → getSession → initializePromise waits on the same lock that's held during event dispatch). Fix is two defenses: a pass-through lock in $lib/supabase, and a setTimeout(0) defer in root +layout.svelte to push loadUserCollectives out of the callback's microtask chain. Either alone is insufficient; both together unblock the Playwright suite. Env key rotation - apps/web/.env.development had a stale demo anon key signed with a different secret than root .env; Vite inlined that into the browser bundle so Kong (which uses the root .env value) rejected every request with 401. Aligned the two files and added a memory entry to flag this for the next rotation. Plan restructure (TDD) - Every fase now opens with X.0 Tests primero and closes with X.Z Verificación final. Completed fases (0, 1, 2a) show the pattern retroactively with the tests that currently cover them; pending fases (2b, 3, 4) list the tests to write before implementation. Docs - CLAUDE.md status line reports 54 + 12 + 15 = 81 green tests, adds gotchas #11 (auth-lock deadlock) and #12 (no storageState caching) - README.md adds a TDD methodology section and the test-all command - .gitignore excludes Playwright's generated reports and auth state 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
80 lines
4.4 KiB
Markdown
80 lines
4.4 KiB
Markdown
### Fase 4 — Búsqueda y Pulido Final
|
||
**Estado: ⏳ Pendiente**
|
||
**Duración estimada: 1 semana**
|
||
**Objetivo: completar el MVP con calidad de producción.**
|
||
|
||
Esta fase sigue TDD: **primero los tests, al final la verificación.** Ninguna tarea de implementación se da por hecha hasta que todos los tests pasan (`just test-all`).
|
||
|
||
#### 4.0 Tests primero — escribir antes de implementar
|
||
|
||
**Vitest (`packages/test-utils/tests/`):**
|
||
|
||
- [ ] `search.test.ts` — S-series:
|
||
- S-01: `search_in_collective(col, 'mil')` devuelve ítems con "milk" del colectivo
|
||
- S-02: respeta aislamiento cross-collective (Eva no ve nada del colectivo de Ana)
|
||
- S-03: excluye papelera (RN-08) — crear ítem, enviarlo a trash (o el contenedor correspondiente), verificar que no aparece en búsqueda
|
||
- S-04: filtros por tipo (lista/tarea/nota), por creador, por rango de fechas
|
||
|
||
**pgTAP (`supabase/tests/`):**
|
||
|
||
- [ ] `007_search_tsvector.sql` — trigger de mantenimiento de `tsvector`: INSERT/UPDATE dispara la actualización de la columna; índice GIN se usa (verificar con `EXPLAIN`)
|
||
- [ ] `008_rls_audit.sql` — tests exhaustivos por cada tabla y rol (admin/member/guest/non-member) × (SELECT/INSERT/UPDATE/DELETE) para todas las tablas de dominio
|
||
|
||
**Playwright (`apps/web/tests/e2e/`):**
|
||
|
||
- [ ] `search.test.ts` — UI: input con debounce 300ms; resultados agrupados por tipo; filtros
|
||
- [ ] `profile.test.ts` — abandonar colectivo, eliminar cuenta (con confirmación)
|
||
- [ ] `pwa.test.ts` — manifest.webmanifest accesible, service worker registrado tras login
|
||
- [ ] `rate-limit.test.ts` — disparar más peticiones de auth que el rate limit configurado en Kong; verificar 429
|
||
|
||
**Manual / herramientas externas:**
|
||
|
||
- [ ] Lighthouse PWA score ≥ 90 en mobile (ejecutar en un build de producción)
|
||
- [ ] Instalable en iOS (Safari → Añadir a pantalla de inicio) y Android (Chrome → Instalar app)
|
||
- [ ] Notificaciones push configuradas para iOS 16.4+ (requiere PWA instalada)
|
||
- [ ] Offline completo verificado: desconectar red, operar en todos los módulos, reconectar y verificar sync
|
||
|
||
#### 4.1 Búsqueda global
|
||
|
||
- [ ] Función PostgreSQL `search_in_collective(collective_id, query, filters)` usando `tsvector` + `tsquery`
|
||
- [ ] Columnas `tsvector` en `shopping_items`, `tasks`, `notes` con índice GIN
|
||
- [ ] Trigger para mantener los vectores actualizados en cada INSERT/UPDATE
|
||
- [ ] Pantalla `/search`:
|
||
- Input de búsqueda con debounce 300ms
|
||
- Resultados agrupados por tipo (listas, tareas, notas)
|
||
- Filtros: tipo de contenido, miembro creador, rango de fechas, estado
|
||
- La búsqueda no opera sobre papelera (RN-08)
|
||
|
||
#### 4.2 Perfil de usuario
|
||
|
||
- [ ] Pantalla `/profile`:
|
||
- Editar nombre y avatar (Supabase Storage)
|
||
- Lista de colectivos a los que pertenece con rol
|
||
- Opción de abandonar colectivo
|
||
- Eliminar cuenta (con aviso sobre promoción de admin si aplica)
|
||
|
||
#### 4.3 PWA — Validación final
|
||
|
||
Implementación que necesitan los tests manuales de la sección 4.0:
|
||
|
||
- [ ] Configurar `manifest.webmanifest` con iconos (512, 192, 180), theme-color, display: standalone
|
||
- [ ] Cambiar estrategia del Service Worker a `injectManifest` con fichero renombrado a `src/sw.ts` (ver gotcha #10 en CLAUDE.md)
|
||
- [ ] Implementar notificaciones push con suscripción en el perfil
|
||
|
||
#### 4.4 Seguridad y hardening
|
||
|
||
- [ ] Auditoría de políticas RLS: verificar aislamiento total entre colectivos con tests de integración (test `008_rls_audit.sql` de 4.0)
|
||
- [ ] Rate limiting en Kong para endpoints de auth y invitaciones
|
||
- [ ] Headers de seguridad en nginx: CSP, HSTS, X-Frame-Options — gestionados externamente en la config de nginx del VPS
|
||
- [ ] Rotación de `JWT_SECRET` y `ANON_KEY` para producción (no usar los valores por defecto de Supabase)
|
||
- [ ] **Recordatorio:** al rotar `JWT_SECRET` hay que actualizar `root/.env` Y `apps/web/.env.development` a la vez, luego `docker compose up -d --force-recreate` + reiniciar Vite (ver `project_env_keys_trap` en la memoria)
|
||
|
||
#### 4.Z Verificación final — todos los tests verdes
|
||
|
||
- [ ] `just test-all` → 0 failures con los nuevos de 4.0
|
||
- [ ] Lighthouse PWA score ≥ 90 (manual)
|
||
- [ ] Prueba de instalación PWA en un iPhone y un Android reales
|
||
- [ ] Prueba de aislamiento RLS manual: login como Eva, intentar leer datos de otros colectivos vía curl con token — 0 filas
|
||
|
||
**Criterio de aceptación:** búsqueda global por UI en < 300ms, PWA instalable y funcional offline, aislamiento RLS auditado, `just test-all` verde.
|