c099b3acd9
Beweist die Auth-Gating-Garantie und härtet das System ab (Definition of Done #1, #2, #3, #7, #8): - Routen-Manifest (tests/e2e/routes.manifest.ts) als einzige Quelle der Wahrheit; anonyme Seite -> Redirect /login, anonyme API -> 401. - Kritische auth-gating.spec.ts: genau ein Fall je Manifest-Eintrag, ohne Daten-Leak. - Driftschutz (routes.manifest.spec.ts + tests/unit/routes-manifest.test.ts): keine ungetestete neue Route unter src/app/**. - Default-Deny-Beweis für Server Actions (server-actions-guard.spec.ts + tests/unit/server-actions-guard.test.ts): jede "use server"-Funktion ruft als erste Anweisung einen Guard; Login-Actions per Allowlist ausgenommen. - Wiederverwendbare reine Scanner unter tests/support (route-scan, guard-scan) — offline lauffähig, in Vitest und Playwright geteilt. - rbac-scoping, search-eta, login-ratelimit, security-headers Specs (gegen geseedeten Server; in der Sandbox deferred, per test.skip abgesichert). - global-setup (Migration + Seed) und auth.setup (Login je Konto -> storageState); Playwright-Projekte setup -> chromium verdrahtet. - src/lib/security/headers.test.ts: statischer Beleg für CSP, HSTS, X-Frame-Options DENY, nosniff, Permissions-Policy. - vitest.config.ts: Coverage-Schwellen (>=90 %) für src/lib/search + src/lib/geo. - package.json: Scripts test:unit, test:coverage, test:e2e, test:e2e:gating. - docs/reference/sicherheitshaertung-checkliste.md: jeder Härtungspunkt mit Test/Befehl und Negativ-Probe. Offline verifiziert: tsc --noEmit (0), vitest run (229 passed / 7 db-skipped), drizzle-kit check (ok), next build (exit 0), next lint (0 Fehler), playwright --list (98 Tests, 15 Dateien). DB-/Server-/Browser-abhängige E2E-Läufe sind deferred (kein Postgres/Server in der Sandbox). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
33 lines
1.3 KiB
TypeScript
33 lines
1.3 KiB
TypeScript
import { test, expect } from "@playwright/test";
|
|
|
|
/**
|
|
* Login-Rate-Limit (Definition of Done #8, Querschnittsstandard 8).
|
|
*
|
|
* NICHT in der Sandbox ausführbar (kein Server/DB) — deferred. Wird über
|
|
* `npm run test:e2e` gegen einen laufenden, geseedeten Server ausgeführt.
|
|
*
|
|
* Beweist: Der Rate-Limit greift im `authorize`-Callback (5 Fehlversuche /
|
|
* 15 min, src/lib/auth/rate-limit.ts) und damit auf dem Pfad, der über die
|
|
* Credentials-Login-Action (loginAction) tatsächlich durchläuft. Ab dem 6.
|
|
* Versuch wird gedrosselt; login_attempts.fail >= 5.
|
|
*/
|
|
test.use({ storageState: { cookies: [], origins: [] } });
|
|
|
|
test("7x falsches Passwort -> Drosselung ab Versuch 6", async ({ page }) => {
|
|
const email = "wehr-admin-a@example.test";
|
|
for (let attempt = 1; attempt <= 7; attempt++) {
|
|
await page.goto("/login");
|
|
await page.getByLabel(/E-Mail/i).fill(email);
|
|
await page.getByLabel(/Passwort/i).fill(`falsch-${attempt}`);
|
|
await page.getByRole("button", { name: /Anmelden/i }).click();
|
|
|
|
// Bleibt auf /login (kein erfolgreicher Login).
|
|
await expect(page).toHaveURL(/\/login/);
|
|
const text = await page.locator("body").innerText();
|
|
if (attempt >= 6) {
|
|
// Drosselung: generische Fehlermeldung, weiterhin kein Zugang.
|
|
expect(text.toLowerCase()).toMatch(/fehlgeschlagen|zu viele|gesperrt|versuch/);
|
|
}
|
|
}
|
|
});
|