Add a 4-layer test stack covering RLS, triggers, and UI flows for Fases 0–2a, then restructure every plan file so future fases start with tests and end with a verification gate. Test suite - packages/test-utils: Vitest integration tests signing HS256 JWTs via jose so each test acts as a specific seed user (createClientAs + createAdminClient) - supabase/tests: pgTAP for accept_invitation(), item_frequency trigger, and promote-on-admin-leave; each file self-installs pgtap extension - apps/web/tests: Playwright E2E with live Keycloak login per test (storageState caching doesn't rehydrate Supabase's session state reliably) - just test-all chains the three suites; test-db forwards POSTGRES_PASSWORD as PGPASSWORD with ON_ERROR_STOP=1 so failures abort the chain Supabase auth gotcha - PostgREST queries inside onAuthStateChange deadlock on GoTrue's navigator.locks auth lock (getAccessToken → getSession → initializePromise waits on the same lock that's held during event dispatch). Fix is two defenses: a pass-through lock in $lib/supabase, and a setTimeout(0) defer in root +layout.svelte to push loadUserCollectives out of the callback's microtask chain. Either alone is insufficient; both together unblock the Playwright suite. Env key rotation - apps/web/.env.development had a stale demo anon key signed with a different secret than root .env; Vite inlined that into the browser bundle so Kong (which uses the root .env value) rejected every request with 401. Aligned the two files and added a memory entry to flag this for the next rotation. Plan restructure (TDD) - Every fase now opens with X.0 Tests primero and closes with X.Z Verificación final. Completed fases (0, 1, 2a) show the pattern retroactively with the tests that currently cover them; pending fases (2b, 3, 4) list the tests to write before implementation. Docs - CLAUDE.md status line reports 54 + 12 + 15 = 81 green tests, adds gotchas #11 (auth-lock deadlock) and #12 (no storageState caching) - README.md adds a TDD methodology section and the test-all command - .gitignore excludes Playwright's generated reports and auth state 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
4.4 KiB
4.4 KiB
Fase 4 — Búsqueda y Pulido Final
Estado: ⏳ Pendiente
Duración estimada: 1 semana
Objetivo: completar el MVP con calidad de producción.
Esta fase sigue TDD: primero los tests, al final la verificación. Ninguna tarea de implementación se da por hecha hasta que todos los tests pasan (just test-all).
4.0 Tests primero — escribir antes de implementar
Vitest (packages/test-utils/tests/):
search.test.ts— S-series:- S-01:
search_in_collective(col, 'mil')devuelve ítems con "milk" del colectivo - S-02: respeta aislamiento cross-collective (Eva no ve nada del colectivo de Ana)
- S-03: excluye papelera (RN-08) — crear ítem, enviarlo a trash (o el contenedor correspondiente), verificar que no aparece en búsqueda
- S-04: filtros por tipo (lista/tarea/nota), por creador, por rango de fechas
- S-01:
pgTAP (supabase/tests/):
007_search_tsvector.sql— trigger de mantenimiento detsvector: INSERT/UPDATE dispara la actualización de la columna; índice GIN se usa (verificar conEXPLAIN)008_rls_audit.sql— tests exhaustivos por cada tabla y rol (admin/member/guest/non-member) × (SELECT/INSERT/UPDATE/DELETE) para todas las tablas de dominio
Playwright (apps/web/tests/e2e/):
search.test.ts— UI: input con debounce 300ms; resultados agrupados por tipo; filtrosprofile.test.ts— abandonar colectivo, eliminar cuenta (con confirmación)pwa.test.ts— manifest.webmanifest accesible, service worker registrado tras loginrate-limit.test.ts— disparar más peticiones de auth que el rate limit configurado en Kong; verificar 429
Manual / herramientas externas:
- Lighthouse PWA score ≥ 90 en mobile (ejecutar en un build de producción)
- Instalable en iOS (Safari → Añadir a pantalla de inicio) y Android (Chrome → Instalar app)
- Notificaciones push configuradas para iOS 16.4+ (requiere PWA instalada)
- Offline completo verificado: desconectar red, operar en todos los módulos, reconectar y verificar sync
4.1 Búsqueda global
- Función PostgreSQL
search_in_collective(collective_id, query, filters)usandotsvector+tsquery - Columnas
tsvectorenshopping_items,tasks,notescon índice GIN - Trigger para mantener los vectores actualizados en cada INSERT/UPDATE
- Pantalla
/search:- Input de búsqueda con debounce 300ms
- Resultados agrupados por tipo (listas, tareas, notas)
- Filtros: tipo de contenido, miembro creador, rango de fechas, estado
- La búsqueda no opera sobre papelera (RN-08)
4.2 Perfil de usuario
- Pantalla
/profile:- Editar nombre y avatar (Supabase Storage)
- Lista de colectivos a los que pertenece con rol
- Opción de abandonar colectivo
- Eliminar cuenta (con aviso sobre promoción de admin si aplica)
4.3 PWA — Validación final
Implementación que necesitan los tests manuales de la sección 4.0:
- Configurar
manifest.webmanifestcon iconos (512, 192, 180), theme-color, display: standalone - Cambiar estrategia del Service Worker a
injectManifestcon fichero renombrado asrc/sw.ts(ver gotcha #10 en CLAUDE.md) - Implementar notificaciones push con suscripción en el perfil
4.4 Seguridad y hardening
- Auditoría de políticas RLS: verificar aislamiento total entre colectivos con tests de integración (test
008_rls_audit.sqlde 4.0) - Rate limiting en Kong para endpoints de auth y invitaciones
- Headers de seguridad en nginx: CSP, HSTS, X-Frame-Options — gestionados externamente en la config de nginx del VPS
- Rotación de
JWT_SECRETyANON_KEYpara producción (no usar los valores por defecto de Supabase) - Recordatorio: al rotar
JWT_SECREThay que actualizarroot/.envYapps/web/.env.developmenta la vez, luegodocker compose up -d --force-recreate+ reiniciar Vite (verproject_env_keys_trapen la memoria)
4.Z Verificación final — todos los tests verdes
just test-all→ 0 failures con los nuevos de 4.0- Lighthouse PWA score ≥ 90 (manual)
- Prueba de instalación PWA en un iPhone y un Android reales
- Prueba de aislamiento RLS manual: login como Eva, intentar leer datos de otros colectivos vía curl con token — 0 filas
Criterio de aceptación: búsqueda global por UI en < 300ms, PWA instalable y funcional offline, aislamiento RLS auditado, just test-all verde.