matthias/Florian-netz
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Workstream 11: Tests & Sicherheitshärtung (Phase 7)

Browse Source 
Beweist die Auth-Gating-Garantie und härtet das System ab (Definition of
Done #1, #2, #3, #7, #8):

- Routen-Manifest (tests/e2e/routes.manifest.ts) als einzige Quelle der
  Wahrheit; anonyme Seite -> Redirect /login, anonyme API -> 401.
- Kritische auth-gating.spec.ts: genau ein Fall je Manifest-Eintrag, ohne
  Daten-Leak.
- Driftschutz (routes.manifest.spec.ts + tests/unit/routes-manifest.test.ts):
  keine ungetestete neue Route unter src/app/**.
- Default-Deny-Beweis für Server Actions (server-actions-guard.spec.ts +
  tests/unit/server-actions-guard.test.ts): jede "use server"-Funktion ruft
  als erste Anweisung einen Guard; Login-Actions per Allowlist ausgenommen.
- Wiederverwendbare reine Scanner unter tests/support (route-scan, guard-scan)
  — offline lauffähig, in Vitest und Playwright geteilt.
- rbac-scoping, search-eta, login-ratelimit, security-headers Specs (gegen
  geseedeten Server; in der Sandbox deferred, per test.skip abgesichert).
- global-setup (Migration + Seed) und auth.setup (Login je Konto ->
  storageState); Playwright-Projekte setup -> chromium verdrahtet.
- src/lib/security/headers.test.ts: statischer Beleg für CSP, HSTS,
  X-Frame-Options DENY, nosniff, Permissions-Policy.
- vitest.config.ts: Coverage-Schwellen (>=90 %) für src/lib/search + src/lib/geo.
- package.json: Scripts test:unit, test:coverage, test:e2e, test:e2e:gating.
- docs/reference/sicherheitshaertung-checkliste.md: jeder Härtungspunkt mit
  Test/Befehl und Negativ-Probe.

Offline verifiziert: tsc --noEmit (0), vitest run (229 passed / 7 db-skipped),
drizzle-kit check (ok), next build (exit 0), next lint (0 Fehler),
playwright --list (98 Tests, 15 Dateien). DB-/Server-/Browser-abhängige
E2E-Läufe sind deferred (kein Postgres/Server in der Sandbox).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
Matthias Hochmeister
2026-06-09 14:17:10 +02:00
parent 9927711192
commit c099b3acd9
19 changed files with 957 additions and 52 deletions
Download Patch File Download Diff File Expand all files Collapse all files

32
tests/e2e/login-ratelimit.spec.ts Normal file
View File

@@ -0,0 +1,32 @@
import { test, expect } from "@playwright/test";
/**
* Login-Rate-Limit (Definition of Done #8, Querschnittsstandard 8).
*
* NICHT in der Sandbox ausführbar (kein Server/DB) — deferred. Wird über
* `npm run test:e2e` gegen einen laufenden, geseedeten Server ausgeführt.
*
* Beweist: Der Rate-Limit greift im `authorize`-Callback (5 Fehlversuche /
* 15 min, src/lib/auth/rate-limit.ts) und damit auf dem Pfad, der über die
* Credentials-Login-Action (loginAction) tatsächlich durchläuft. Ab dem 6.
* Versuch wird gedrosselt; login_attempts.fail >= 5.
*/
test.use({ storageState: { cookies: [], origins: [] } });
test("7x falsches Passwort -> Drosselung ab Versuch 6", async ({ page }) => {
const email = "wehr-admin-a@example.test";
for (let attempt = 1; attempt <= 7; attempt++) {
await page.goto("/login");
await page.getByLabel(/E-Mail/i).fill(email);
await page.getByLabel(/Passwort/i).fill(`falsch-${attempt}`);
await page.getByRole("button", { name: /Anmelden/i }).click();
// Bleibt auf /login (kein erfolgreicher Login).
await expect(page).toHaveURL(/\/login/);
const text = await page.locator("body").innerText();
if (attempt >= 6) {
// Drosselung: generische Fehlermeldung, weiterhin kein Zugang.
expect(text.toLowerCase()).toMatch(/fehlgeschlagen|zu viele|gesperrt|versuch/);
}
}
});