admin/shop-server
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

ываыв

Browse Source
This commit is contained in:
Kirill
2026-05-28 21:46:17 +05:00
parent ba375aee12
commit f34c05095a
12 changed files with 1039 additions and 18 deletions
Download Patch File Download Diff File Expand all files Collapse all files
client/src/app/providers/SseProvider.tsx
+11 -12
View File
@@ -21,6 +21,14 @@ export function SseProvider() {
const es = createEventStream(token)
sourceRef.current = es
function invalidateOrderQueries(orderId: unknown) {
if (!orderId) return
queryClient.invalidateQueries({ queryKey: ['me', 'orders', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', 'detail', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders'] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', 'summary'] })
}
function handleEvent(eventName: string) {
return function (event: MessageEvent) {
try {
@@ -31,22 +39,13 @@ export function SseProvider() {
case 'message:new':
queryClient.invalidateQueries({ queryKey: ['me', 'messages', 'unread-count'] })
queryClient.invalidateQueries({ queryKey: ['me', 'conversations'] })
if (orderId) {
queryClient.invalidateQueries({ queryKey: ['me', 'orders', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', orderId] })
}
invalidateOrderQueries(orderId)
break
case 'order:statusChanged':
if (orderId) {
queryClient.invalidateQueries({ queryKey: ['me', 'orders', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', orderId] })
}
invalidateOrderQueries(orderId)
break
case 'order:updated':
if (orderId) {
queryClient.invalidateQueries({ queryKey: ['me', 'orders', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', orderId] })
}
invalidateOrderQueries(orderId)
break
case 'order:new':
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', 'summary'] })
client/src/app/providers/__tests__/SseProvider.test.tsx
+9 -3
View File
@@ -108,7 +108,9 @@ describe('SseProvider', () => {
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'messages', 'unread-count'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'conversations'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'orders', 'o1'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'o1'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'detail', 'o1'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'summary'] })
})
it('invalidates order queries on order:statusChanged', () => {
@@ -117,7 +119,9 @@ describe('SseProvider', () => {
const handler = mockEventHandlers['order:statusChanged']
handler(new MessageEvent('order:statusChanged', { data: JSON.stringify({ orderId: 'o2' }) }))
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'orders', 'o2'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'o2'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'detail', 'o2'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'summary'] })
})
it('invalidates order queries on order:updated', () => {
@@ -126,7 +130,9 @@ describe('SseProvider', () => {
const handler = mockEventHandlers['order:updated']
handler(new MessageEvent('order:updated', { data: JSON.stringify({ orderId: 'o3' }) }))
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'orders', 'o3'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'o3'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'detail', 'o3'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'summary'] })
})
it('invalidates admin queries on order:new', () => {
client/src/features/order-detail/ui/OrderDetailContent.tsx
+1 -1
View File
@@ -215,7 +215,7 @@ export function OrderDetailContent({ detail, orderId }: { detail: AdminOrderDeta
/>
)
return (
<ChatMessageBubble key={m.id} authorType={isAdminMsg ? 'user' : 'admin'} avatar={avatarNode}>
<ChatMessageBubble key={m.id} authorType={isAdminMsg ? 'admin' : 'user'} avatar={avatarNode}>
<Typography variant="caption" color="text.secondary">
{isAdminMsg ? 'Админ (вы)' : 'Пользователь'} · {new Date(m.createdAt).toLocaleString()}
</Typography>
client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx
+33
View File
@@ -1,3 +1,4 @@
import type { ReactNode } from 'react'
import { QueryClient, QueryClientProvider } from '@tanstack/react-query'
import { render, screen, waitFor } from '@testing-library/react'
import userEvent from '@testing-library/user-event'
@@ -29,6 +30,12 @@ vi.mock('@/shared/ui/RichTextMessageEditor.lazy', () => ({
}) => <textarea aria-label="Ответ админа" value={value} onChange={(e) => onChange(e.target.value)} />,
}))
vi.mock('@/shared/ui/ChatMessageBubble', () => ({
ChatMessageBubble: ({ authorType, children }: { authorType: 'admin' | 'user'; children: ReactNode }) => (
<div data-testid={`chat-message-${authorType}`}>{children}</div>
),
}))
const setAdminOrderStatusMock = vi.mocked(setAdminOrderStatus)
function createDetail(overrides?: Partial<AdminOrderDetailResponse['item']>): AdminOrderDetailResponse['item'] {
@@ -175,4 +182,30 @@ describe('OrderDetailContent quick status transitions', () => {
await user.click(paidButton)
expect(setAdminOrderStatusMock).toHaveBeenCalledTimes(2)
})
it('передает фактический authorType в пузырь сообщения', () => {
renderComponent(
createDetail({
messages: [
{
id: 'message-admin',
authorType: 'admin',
text: 'Ответ администратора',
attachmentUrl: null,
createdAt: '2026-05-28T10:00:00.000Z',
},
{
id: 'message-user',
authorType: 'user',
text: 'Сообщение покупателя',
attachmentUrl: null,
createdAt: '2026-05-28T10:01:00.000Z',
},
],
}),
)
expect(screen.getByTestId('chat-message-admin')).toHaveTextContent('Админ (вы)')
expect(screen.getByTestId('chat-message-user')).toHaveTextContent('Пользователь')
})
})
client/src/shared/constants/__tests__/order.test.ts
+17
View File
@@ -0,0 +1,17 @@
import { describe, expect, it } from 'vitest'
import { canTransitionOrderStatus, getAdminNextOrderStatuses } from '../order'
describe('client order status helpers', () => {
it('returns delivery-specific next statuses', () => {
expect(getAdminNextOrderStatuses('IN_PROGRESS', 'delivery')).toEqual(['SHIPPED', 'CANCELLED'])
})
it('returns pickup-specific next statuses', () => {
expect(getAdminNextOrderStatuses('IN_PROGRESS', 'pickup')).toEqual(['READY_FOR_PICKUP', 'CANCELLED'])
})
it('checks pickup transition without falling back to delivery rules', () => {
expect(canTransitionOrderStatus('IN_PROGRESS', 'READY_FOR_PICKUP', 'pickup')).toBe(true)
expect(canTransitionOrderStatus('IN_PROGRESS', 'SHIPPED', 'pickup')).toBe(false)
})
})
client/src/shared/constants/order.ts
+2 -2
View File
@@ -11,7 +11,7 @@ export function getAdminNextOrderStatuses(status: string, deliveryType: 'deliver
return sharedGetNextAdminStatuses(status, deliveryType) as OrderStatus[]
}
export function canTransitionOrderStatus(from: string, to: string): boolean {
export function canTransitionOrderStatus(from: string, to: string, deliveryType: 'delivery' | 'pickup'): boolean {
if (from === to) return true
return getAdminNextOrderStatuses(from, 'delivery').includes(to as OrderStatus)
return getAdminNextOrderStatuses(from, deliveryType).includes(to as OrderStatus)
}
docs/superpowers/audits/2026-05-28-orders-payments-audit.md
+60
View File
@@ -0,0 +1,60 @@
# Аудит заказов, оплаты и админки заказов
**Дата:** 2026-05-28
**Scope:** `orders/payments/admin-orders`
## Summary
- P0: не найдено в первой итерации.
- P1: исправлены SSE/queryKey для админской деталки, authorType админского чата, summary внимания и guard оплаты до подтверждения доставки.
- P2: добавлены focused tests для найденных дефектов.
- P3: рефакторинги оставлены в backlog.
## Findings
### P1-001: SSE инвалидирует несуществующий queryKey админской деталки
**Статус:** fixed
**Код:** `client/src/app/providers/SseProvider.tsx`
**Тест:** `client/src/app/providers/__tests__/SseProvider.test.tsx`
**Симптом:** события `message:new`, `order:statusChanged`, `order:updated` инвалидируют `['admin', 'orders', orderId]`, но деталка использует `['admin', 'orders', 'detail', selectedId]`.
**Решение:** добавить инвалидацию `['admin', 'orders', 'detail', orderId]`, списка и summary для order events.
### P1-002: Админский чат передает инвертированный authorType в ChatMessageBubble
**Статус:** fixed
**Код:** `client/src/features/order-detail/ui/OrderDetailContent.tsx`
**Тест:** `client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx`
**Симптом:** для `m.authorType === 'admin'` компонент получает `authorType="user"`.
**Решение:** передавать фактический `authorType`: admin-message как `admin`, user-message как `user`.
### P1-003: Admin summary считает все PENDING_PAYMENT как attention
**Статус:** fixed
**Код:** `server/src/routes/api/admin-orders.js`
**Тест:** `server/src/routes/api/__tests__/admin-orders.test.js`
**Симптом:** `attentionCount` считает все `PENDING_PAYMENT`, включая заказы, где цена уже подтверждена.
**Решение:** считать только `PENDING_PAYMENT + delivery + deliveryFeeLocked=false`.
### P1-004: Admin может перевести delivery-заказ в PAID до подтверждения цены
**Статус:** fixed
**Код:** `server/src/routes/api/admin-orders.js`
**Тест:** `server/src/routes/api/__tests__/admin-orders.test.js`
**Симптом:** статусный guard разрешает `PENDING_PAYMENT -> PAID` без проверки `deliveryFeeLocked`.
**Решение:** для `next === 'PAID'` отклонять delivery-заказы с `deliveryFeeLocked === false` кодом 409.
## Refactor Backlog
- Проверить, нужен ли `client/src/shared/constants/order.ts::canTransitionOrderStatus`; если нужен, сделать deliveryType обязательным аргументом.
- После стабилизации route-тестов рассмотреть вынос части логики `admin-orders.js` в маленькие pure helpers.
## Verification
- `server npm test` — pass
- `server npm run lint` — pass, warnings only
- `server npm run format:check` — pass
- `client npm run lint` — pass, warnings only
- `client npm run format:check` — pass
- `client focused vitest` — pass
- `client npm run build` — pass, Vite chunk-size warning only
docs/superpowers/plans/2026-05-28-project-audit-orders-implementation.md
+643
View File
@@ -0,0 +1,643 @@
# Аудит заказов и оплаты Implementation Plan
> **For agentic workers:** REQUIRED SUB-SKILL: Use superpowers:subagent-driven-development (recommended) or superpowers:executing-plans to implement this plan task-by-task. Steps use checkbox (`- [ ]`) syntax for tracking.
**Goal:** Найти, зафиксировать тестами и исправить наиболее рискованные проблемы в потоке заказов, оплаты, статусов, доставки и админки заказов.
**Architecture:** Идем от воспроизводимых дефектов к минимальным исправлениям. Серверные инварианты закрепляем route/unit тестами рядом с существующими тестами Fastify/Vitest; клиентские рассинхроны закрепляем component/unit тестами в существующих `__tests__`. Рефакторинг делаем только там, где он убирает подтвержденную ошибку или опасное дублирование.
**Tech Stack:** Fastify, Prisma, SQLite, Vitest, React, TypeScript, React Query, MUI, FSD.
---
## Files
- Create: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md` — итоговый audit report с находками, приоритетами и решениями.
- Create: `server/src/routes/api/__tests__/admin-orders.test.js` — route-тесты summary, delivery fee и admin status guard.
- Modify: `server/src/routes/api/admin-orders.js` — исправления summary и защиты смены статуса при неподтвержденной цене доставки.
- Modify: `client/src/app/providers/__tests__/SseProvider.test.tsx` — тесты на реальные query keys админской деталки и summary.
- Modify: `client/src/app/providers/SseProvider.tsx` — согласовать SSE-инвалидации с фактическими query keys.
- Modify: `client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx` — тест на корректное направление сообщений в админской деталке.
- Modify: `client/src/features/order-detail/ui/OrderDetailContent.tsx` — исправить `authorType` для `ChatMessageBubble`.
- Modify: `client/src/shared/constants/order.ts` — убрать опасный delivery-only fallback из `canTransitionOrderStatus`.
- Create: `client/src/shared/constants/__tests__/order.test.ts` — тесты переходов для delivery и pickup в клиентском адаптере.
---
### Task 1: Создать audit report shell
**Files:**
- Create: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`
- [ ] **Step 1: Создать папку для audit reports, если ее нет**
Run from repo root:
```powershell
if (!(Test-Path "docs/superpowers/audits")) { New-Item -ItemType Directory "docs/superpowers/audits" }
```
Expected: папка `docs/superpowers/audits` существует.
- [ ] **Step 2: Создать стартовый audit report**
Write `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`:
```markdown
# Аудит заказов, оплаты и админки заказов
**Дата:** 2026-05-28
**Scope:** `orders/payments/admin-orders`
## Summary
- P0: не найдено на момент старта реализации.
- P1: проверяются status guards, delivery fee, SSE/queryKey и админский чат.
- P2: проверяется покрытие тестами ключевых контрактов.
- P3: рефакторинги фиксируются отдельно и не смешиваются с исправлениями.
## Findings
### P1-001: SSE инвалидирует несуществующий queryKey админской деталки
**Статус:** pending
**Код:** `client/src/app/providers/SseProvider.tsx`
**Симптом:** события `message:new`, `order:statusChanged`, `order:updated` инвалидируют `['admin', 'orders', orderId]`, но деталка использует `['admin', 'orders', 'detail', selectedId]`.
**Решение:** добавить инвалидацию `['admin', 'orders', 'detail', orderId]`, списка и summary для order events.
### P1-002: Админский чат передает инвертированный authorType в ChatMessageBubble
**Статус:** pending
**Код:** `client/src/features/order-detail/ui/OrderDetailContent.tsx`
**Симптом:** для `m.authorType === 'admin'` компонент получает `authorType="user"`.
**Решение:** передавать фактический `authorType`: admin-message как `admin`, user-message как `user`.
### P1-003: Admin summary считает все PENDING_PAYMENT как attention
**Статус:** pending
**Код:** `server/src/routes/api/admin-orders.js`
**Симптом:** `attentionCount` считает все `PENDING_PAYMENT`, включая заказы, где цена уже подтверждена.
**Решение:** считать только `PENDING_PAYMENT + delivery + deliveryFeeLocked=false`.
### P1-004: Admin может перевести delivery-заказ в PAID до подтверждения цены
**Статус:** pending
**Код:** `server/src/routes/api/admin-orders.js`
**Симптом:** статусный guard разрешает `PENDING_PAYMENT -> PAID` без проверки `deliveryFeeLocked`.
**Решение:** для `next === 'PAID'` отклонять delivery-заказы с `deliveryFeeLocked === false` кодом 409.
## Refactor Backlog
- Проверить, нужен ли `client/src/shared/constants/order.ts::canTransitionOrderStatus`; если нужен, сделать deliveryType обязательным аргументом.
- После стабилизации route-тестов рассмотреть вынос части логики `admin-orders.js` в маленькие pure helpers.
```
- [ ] **Step 3: Проверить отсутствие незавершенных маркеров**
Run:
```powershell
$pattern = ('TO' + 'DO|T' + 'BD|PLACE' + 'HOLDER|\?\?\?'); rg -n $pattern "docs/superpowers/audits/2026-05-28-orders-payments-audit.md"
```
Expected: no matches.
---
### Task 2: Зафиксировать server defects тестами
**Files:**
- Create: `server/src/routes/api/__tests__/admin-orders.test.js`
- [ ] **Step 1: Написать failing route tests для summary и PAID guard**
Create `server/src/routes/api/__tests__/admin-orders.test.js`:
```js
import jwt from '@fastify/jwt'
import Fastify from 'fastify'
import { afterAll, afterEach, beforeAll, beforeEach, describe, expect, it, vi } from 'vitest'
import { prisma } from '../../../lib/prisma.js'
import { registerAdminOrderRoutes } from '../admin-orders.js'
const JWT_SECRET = 'test-secret'
const ADMIN_EMAIL = `admin-orders-${Date.now()}@example.com`
const USER_EMAIL = `admin-orders-user-${Date.now()}@example.com`
let app
let adminUser
let buyer
async function signToken(user) {
return app.jwt.sign({ sub: user.id, email: user.email })
}
async function buildApp() {
const fastify = Fastify({ logger: false })
await fastify.register(jwt, { secret: JWT_SECRET })
fastify.decorate('eventBus', { emit: vi.fn() })
fastify.decorate('verifyAdmin', async (request, reply) => {
try {
await request.jwtVerify()
} catch {
return reply.code(401).send({ error: 'Unauthorized' })
}
if (request.user.email !== ADMIN_EMAIL) {
return reply.code(401).send({ error: 'Admin only' })
}
})
await registerAdminOrderRoutes(fastify)
await fastify.ready()
return fastify
}
async function createOrder(data = {}) {
return prisma.order.create({
data: {
userId: buyer.id,
status: 'PENDING_PAYMENT',
deliveryType: 'delivery',
deliveryFeeLocked: false,
paymentMethod: 'online',
itemsSubtotalCents: 10000,
deliveryFeeCents: 50000,
totalCents: 60000,
currency: 'RUB',
...data,
},
})
}
describe('admin order routes', () => {
beforeAll(async () => {
await prisma.payment.deleteMany()
await prisma.order.deleteMany({ where: { user: { email: { in: [ADMIN_EMAIL, USER_EMAIL] } } } })
await prisma.user.deleteMany({ where: { email: { in: [ADMIN_EMAIL, USER_EMAIL] } } })
adminUser = await prisma.user.create({ data: { email: ADMIN_EMAIL } })
buyer = await prisma.user.create({ data: { email: USER_EMAIL } })
})
beforeEach(async () => {
await prisma.order.deleteMany({ where: { userId: buyer.id } })
app = await buildApp()
})
afterEach(async () => {
await app.close()
vi.clearAllMocks()
})
afterAll(async () => {
await prisma.order.deleteMany({ where: { userId: buyer.id } })
await prisma.user.deleteMany({ where: { id: { in: [adminUser.id, buyer.id] } } })
})
it('summary counts only delivery orders waiting for price approval', async () => {
await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery' })
await createOrder({ deliveryFeeLocked: true, deliveryType: 'delivery' })
await createOrder({ deliveryFeeLocked: false, deliveryType: 'pickup' })
await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery', status: 'PAID' })
const token = await signToken(adminUser)
const res = await app.inject({
method: 'GET',
url: '/api/admin/orders/summary',
headers: { authorization: `Bearer ${token}` },
})
expect(res.statusCode).toBe(200)
expect(res.json()).toEqual({ attentionCount: 1 })
})
it('rejects PAID transition while delivery fee is not locked', async () => {
const order = await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery' })
const token = await signToken(adminUser)
const res = await app.inject({
method: 'PATCH',
url: `/api/admin/orders/${order.id}/status`,
headers: { authorization: `Bearer ${token}` },
payload: { status: 'PAID' },
})
expect(res.statusCode).toBe(409)
expect(res.json().error).toContain('стоимость доставки')
})
})
```
- [ ] **Step 2: Запустить тест и убедиться, что он падает**
Run from `server`:
```powershell
npm test -- src/routes/api/__tests__/admin-orders.test.js
```
Expected before implementation: first test returns `{ attentionCount: 2 }` or more; second test returns 200 instead of 409.
---
### Task 3: Исправить admin summary и PAID guard
**Files:**
- Modify: `server/src/routes/api/admin-orders.js`
- Test: `server/src/routes/api/__tests__/admin-orders.test.js`
- Update: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`
- [ ] **Step 1: Исправить summary filter**
In `server/src/routes/api/admin-orders.js`, replace the summary `where`:
```js
const attentionCount = await prisma.order.count({
where: {
status: 'PENDING_PAYMENT',
deliveryType: 'delivery',
deliveryFeeLocked: false,
},
})
```
- [ ] **Step 2: Добавить guard перед update статуса**
In `server/src/routes/api/admin-orders.js`, after `canTransitionAdminOrderStatus` check and before `prisma.order.update`, add:
```js
if (next === 'PAID' && existing.deliveryType === 'delivery' && existing.deliveryFeeLocked === false) {
return reply.code(409).send({
error: 'Сначала подтвердите итоговую стоимость доставки',
})
}
```
- [ ] **Step 3: Запустить focused server test**
Run from `server`:
```powershell
npm test -- src/routes/api/__tests__/admin-orders.test.js
```
Expected: PASS.
- [ ] **Step 4: Обновить audit report statuses**
In `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`, change:
```markdown
**Статус:** pending
```
to:
```markdown
**Статус:** fixed
```
for `P1-003` and `P1-004`, and add:
```markdown
**Тест:** `server/src/routes/api/__tests__/admin-orders.test.js`
```
to both findings.
---
### Task 4: Зафиксировать SSE queryKey mismatch тестами
**Files:**
- Modify: `client/src/app/providers/__tests__/SseProvider.test.tsx`
- [ ] **Step 1: Обновить ожидания для order events**
In `client/src/app/providers/__tests__/SseProvider.test.tsx`, change the `message:new`, `order:statusChanged`, and `order:updated` expectations so each order event expects:
```ts
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['me', 'orders', orderId] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'detail', orderId] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders'] })
expect(mockInvalidateQueries).toHaveBeenCalledWith({ queryKey: ['admin', 'orders', 'summary'] })
```
Use concrete `orderId` values already present in each test: `o1`, `o2`, `o3`.
- [ ] **Step 2: Запустить focused client test и убедиться, что он падает**
Run from `client`:
```powershell
npm test -- src/app/providers/__tests__/SseProvider.test.tsx
```
Expected before implementation: FAIL because `['admin', 'orders', 'detail', orderId]`, list and summary are not invalidated for existing order events.
---
### Task 5: Исправить SSE invalidation keys
**Files:**
- Modify: `client/src/app/providers/SseProvider.tsx`
- Test: `client/src/app/providers/__tests__/SseProvider.test.tsx`
- Update: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`
- [ ] **Step 1: Добавить локальный helper внутри useEffect**
In `client/src/app/providers/SseProvider.tsx`, inside `useEffect` before `handleEvent`, add:
```ts
function invalidateOrderQueries(orderId: unknown) {
if (!orderId) return
queryClient.invalidateQueries({ queryKey: ['me', 'orders', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', 'detail', orderId] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders'] })
queryClient.invalidateQueries({ queryKey: ['admin', 'orders', 'summary'] })
}
```
- [ ] **Step 2: Использовать helper в three order event cases**
Replace duplicated `if (orderId) { ... }` blocks in `message:new`, `order:statusChanged`, and `order:updated` with:
```ts
invalidateOrderQueries(orderId)
```
Keep `message:new` invalidations for unread count and conversations before this call.
- [ ] **Step 3: Запустить focused client test**
Run from `client`:
```powershell
npm test -- src/app/providers/__tests__/SseProvider.test.tsx
```
Expected: PASS.
- [ ] **Step 4: Обновить audit report**
Mark `P1-001` as fixed and add:
```markdown
**Тест:** `client/src/app/providers/__tests__/SseProvider.test.tsx`
```
---
### Task 6: Зафиксировать и исправить authorType в админском чате
**Files:**
- Modify: `client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx`
- Modify: `client/src/features/order-detail/ui/OrderDetailContent.tsx`
- Update: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`
- [ ] **Step 1: Замокать ChatMessageBubble в тесте**
In `client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx`, add this mock after existing UI mocks:
```ts
vi.mock('@/shared/ui/ChatMessageBubble', () => ({
ChatMessageBubble: ({ authorType, children }: { authorType: 'admin' | 'user'; children: React.ReactNode }) => (
<div data-testid={`chat-message-${authorType}`}>{children}</div>
),
}))
```
- [ ] **Step 2: Добавить failing test**
Add to `describe('OrderDetailContent quick status transitions', () => { ... })`:
```ts
it('передает фактический authorType в пузырь сообщения', () => {
renderComponent(
createDetail({
messages: [
{
id: 'message-admin',
authorType: 'admin',
text: 'Ответ администратора',
attachmentUrl: null,
createdAt: '2026-05-28T10:00:00.000Z',
},
{
id: 'message-user',
authorType: 'user',
text: 'Сообщение покупателя',
attachmentUrl: null,
createdAt: '2026-05-28T10:01:00.000Z',
},
],
}),
)
expect(screen.getByTestId('chat-message-admin')).toHaveTextContent('Ответ администратора')
expect(screen.getByTestId('chat-message-user')).toHaveTextContent('Сообщение покупателя')
})
```
- [ ] **Step 3: Запустить focused test и убедиться, что он падает**
Run from `client`:
```powershell
npm test -- src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx
```
Expected before implementation: FAIL because admin message is rendered under `chat-message-user`.
- [ ] **Step 4: Исправить implementation**
In `client/src/features/order-detail/ui/OrderDetailContent.tsx`, replace:
```tsx
<ChatMessageBubble key={m.id} authorType={isAdminMsg ? 'user' : 'admin'} avatar={avatarNode}>
```
with:
```tsx
<ChatMessageBubble key={m.id} authorType={isAdminMsg ? 'admin' : 'user'} avatar={avatarNode}>
```
- [ ] **Step 5: Запустить focused test**
Run from `client`:
```powershell
npm test -- src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx
```
Expected: PASS.
- [ ] **Step 6: Обновить audit report**
Mark `P1-002` as fixed and add:
```markdown
**Тест:** `client/src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx`
```
---
### Task 7: Исправить клиентский status helper без delivery-only fallback
**Files:**
- Modify: `client/src/shared/constants/order.ts`
- Create: `client/src/shared/constants/__tests__/order.test.ts`
- [ ] **Step 1: Создать тесты для delivery и pickup переходов**
Create `client/src/shared/constants/__tests__/order.test.ts`:
```ts
import { describe, expect, it } from 'vitest'
import { canTransitionOrderStatus, getAdminNextOrderStatuses } from '../order'
describe('client order status helpers', () => {
it('returns delivery-specific next statuses', () => {
expect(getAdminNextOrderStatuses('IN_PROGRESS', 'delivery')).toEqual(['SHIPPED', 'CANCELLED'])
})
it('returns pickup-specific next statuses', () => {
expect(getAdminNextOrderStatuses('IN_PROGRESS', 'pickup')).toEqual(['READY_FOR_PICKUP', 'CANCELLED'])
})
it('checks pickup transition without falling back to delivery rules', () => {
expect(canTransitionOrderStatus('IN_PROGRESS', 'READY_FOR_PICKUP', 'pickup')).toBe(true)
expect(canTransitionOrderStatus('IN_PROGRESS', 'SHIPPED', 'pickup')).toBe(false)
})
})
```
- [ ] **Step 2: Запустить тест и убедиться, что он падает на сигнатуре**
Run from `client`:
```powershell
npm test -- src/shared/constants/__tests__/order.test.ts
```
Expected before implementation: TypeScript/test failure because `canTransitionOrderStatus` accepts only `(from, to)` and hardcodes delivery.
- [ ] **Step 3: Изменить helper signature**
In `client/src/shared/constants/order.ts`, replace `canTransitionOrderStatus` with:
```ts
export function canTransitionOrderStatus(
from: string,
to: string,
deliveryType: 'delivery' | 'pickup',
): boolean {
if (from === to) return true
return getAdminNextOrderStatuses(from, deliveryType).includes(to as OrderStatus)
}
```
- [ ] **Step 4: Проверить callers**
Run from repo root:
```powershell
rg -n "canTransitionOrderStatus\\(" "client/src"
```
Expected: only the new test imports/calls it, or all callers pass `deliveryType`.
- [ ] **Step 5: Запустить focused test**
Run from `client`:
```powershell
npm test -- src/shared/constants/__tests__/order.test.ts
```
Expected: PASS.
---
### Task 8: Полные проверки и финализация отчета
**Files:**
- Update: `docs/superpowers/audits/2026-05-28-orders-payments-audit.md`
- Verify: changed server/client files
- [ ] **Step 1: Запустить server checks**
Run from `server`:
```powershell
npm test
npm run lint
npm run format:check
```
Expected: all commands pass.
- [ ] **Step 2: Запустить client checks**
Run from `client`:
```powershell
npm run lint
npm run format:check
npm test -- src/app/providers/__tests__/SseProvider.test.tsx src/features/order-detail/ui/__tests__/OrderDetailContent.test.tsx src/shared/constants/__tests__/order.test.ts
```
Expected: all commands pass.
- [ ] **Step 3: Запустить build при изменении TypeScript сигнатур**
Run from `client`:
```powershell
npm run build
```
Expected: typecheck and Vite build pass.
- [ ] **Step 4: Финализировать audit report summary**
Update `docs/superpowers/audits/2026-05-28-orders-payments-audit.md` summary to:
```markdown
## Summary
- P0: не найдено в первой итерации.
- P1: исправлены SSE/queryKey для админской деталки, authorType админского чата, summary внимания и guard оплаты до подтверждения доставки.
- P2: добавлены focused tests для найденных дефектов.
- P3: рефакторинги оставлены в backlog.
```
- [ ] **Step 5: Зафиксировать проверки в audit report**
Add:
```markdown
## Verification
- `server npm test` — pass
- `server npm run lint` — pass
- `server npm run format:check` — pass
- `client npm run lint` — pass
- `client npm run format:check` — pass
- `client focused vitest` — pass
- `client npm run build` — pass
```
If a command fails for an unrelated existing issue, record the exact failing command and reason instead of marking it pass.
- [ ] **Step 6: Проверить рабочее дерево**
Run from repo root:
```powershell
git status --short
```
Expected: only files from this plan and any intentional generated files are changed.
Do not commit unless the user explicitly asks for a commit.
docs/superpowers/specs/2026-05-28-project-audit-orders-design.md
+138
View File
@@ -0,0 +1,138 @@
# Дизайн: аудит заказов, оплаты и админки заказов
**Дата:** 2026-05-28
**Статус:** Ready for implementation planning
## Контекст
Проект — магазин изделий ручной работы с витриной, личным кабинетом и админкой. Самый рискованный бизнес-поток сейчас проходит через создание заказа, доставку, подтверждение цены, оплату, смену статусов, чат заказа и синхронизацию UI через React Query/SSE.
Предыдущий документ `docs/superpowers/specs/2026-05-28-admin-orders-improvements-design.md` описывает UX-доработку админки заказов. Этот документ шире: он задает дизайн аудита логики и исправлений вокруг заказов и оплаты.
## Цели
- Найти логические ошибки и рассинхроны в потоке заказа от checkout до финального статуса.
- Приоритизировать проблемы по риску для данных, оплаты, остатков и пользовательского опыта.
- Исправить только подтвержденные проблемы высокой ценности, не превращая аудит в большой несвязанный рефакторинг.
- Подготовить отдельный список безопасных рефакторингов, которые стоит делать после стабилизации тестами.
## Не в рамках этой итерации
- Редизайн витрины, карточек товара или всей админки.
- Полный аудит всех CRUD-разделов админки.
- Миграция с SQLite или изменение инфраструктуры деплоя.
- Новая ролевая модель вместо текущего `verifyAdmin`.
- Переработка публичных контрактов `/api/categories` и `/api/products`.
## Рекомендованный подход
Первая итерация должна быть сфокусирована на сквозном потоке `orders/payments/admin-orders`, а не на всем проекте сразу. Этот поток объединяет серверные инварианты, платежи, остатки, админские действия, React Query cache и realtime-обновления, поэтому дает максимальную отдачу от аудита.
Альтернативы:
- Timebox-аудит всего проекта даст широкую карту проблем, но исправления окажутся менее связными.
- Отдельный frontend-only или backend-only аудит проще выполнить локально, но он хуже ловит ошибки на стыке API, статусов, кеша и UI.
## Область анализа
### Backend
- `server/src/routes/user-orders.js` — создание заказа, checkout, списание остатков, доставка.
- `server/src/routes/user-payments.js` — создание и проверка платежа.
- `server/src/routes/webhook-yookassa.js` — обработка платежных вебхуков.
- `server/src/routes/api/admin-orders.js` — список, деталка, summary, смена статуса, доставка, сообщения.
- `server/src/routes/user-messages.js` — пользовательские сообщения заказа.
- `server/src/routes/user-cart.js` — корзина как источник checkout.
- `server/src/plugins/auth.js` — админская проверка только в части влияния на order API.
- `shared/constants/order-status.js` и `server/src/lib/order-status.js` — допустимые переходы статусов.
### Frontend
- `client/src/pages/admin-orders/` — список заказов, диалог деталки, summary.
- `client/src/features/order-detail/` — деталка заказа, статусы, доставка, чат, оплата.
- `client/src/pages/me/ui/sections/` — пользовательская деталка заказа, сообщения, действия по заказу.
- `client/src/entities/order/api/` — контракты клиентского API.
- `client/src/app/providers/SseProvider.tsx` — realtime-инвалидации.
- Order-related query keys и мутации React Query.
## Проверяемые инварианты
### Заказ и остатки
- Checkout не создает заказ при нехватке товара.
- Остатки списываются атомарно и не уходят в отрицательные значения.
- Если отмена заказа не возвращает остатки, это фиксируется в audit report как явное продуктовое решение или дефект.
- Корзина после успешного checkout очищается согласованно с созданным заказом.
### Доставка и цена
- Для доставки состояние `deliveryFeeLocked` соответствует возможности оплаты.
- Заказы, требующие подтверждения цены доставки, видны администратору в списке заказов и учитываются в summary, если summary заявлен как список задач к вниманию.
- Админ не переводит заказ в состояние, которое противоречит неподтвержденной доставке.
### Оплата
- Платеж нельзя создать для заказа, который еще не готов к оплате.
- Webhook и polling не создают дублирующих побочных эффектов.
- Переход в `PAID` идемпотентен и не ломает уведомления.
- Ручной перевод админом в `PAID` либо запрещен, либо явно обоснован и протестирован.
### Статусы
- Все переходы статусов проходят через единый источник правил.
- Frontend не дублирует серверную бизнес-логику переходов.
- Для delivery и pickup сценариев допустимые переходы не расходятся.
- Финальные статусы нельзя случайно изменить через admin API.
### UI и синхронизация
- Query keys деталки, списка, summary и SSE-инвалидаций согласованы.
- После мутаций админка и личный кабинет не показывают устаревший статус.
- Сообщения чата корректно отображают автора в пользовательской и админской деталке.
- Ошибки API отображаются понятным текстом и не скрываются за silent fail.
## Приоритизация находок
- **P0:** риск потери денег, некорректной оплаты, отрицательных остатков, доступа к чужим данным.
- **P1:** неверный статус заказа, сломанная админская операция, рассинхрон UI после успешного действия.
- **P2:** плохая диагностика ошибок, слабое покрытие тестами вокруг важного сценария.
- **P3:** локальный техдолг и рефакторинг без текущего пользовательского эффекта.
В первой реализации исправляются P0/P1 и небольшие P2, если они нужны для тестового закрепления. P3 фиксируются в отчете и не смешиваются с исправлениями.
## Артефакты
1. Audit report в формате списка находок с приоритетом, сценарием воспроизведения или кодовой причиной.
2. Набор точечных исправлений для подтвержденных P0/P1.
3. Тесты, которые фиксируют исправленное поведение.
4. Отдельный список рефакторингов и доработок на следующую итерацию.
## Тестирование и проверки
Минимальный набор проверок после исправлений:
- `server``npm test`
- `server``npm run lint`
- `server``npm run format:check`
- `client``npm run lint`
- `client``npm run format:check`
Дополнительно по затронутым изменениям:
- `client``npm test`
- `client``npm run build`
- ручной smoke-сценарий: checkout delivery, подтверждение доставки админом, оплата, смена статусов, обновление открытой деталки.
## Риски
- Аудит может найти больше проблем, чем стоит исправлять в одной итерации. Мера: исправлять только P0/P1, остальное переносить в отчет.
- Статусная модель может оказаться связана с UX-решениями, которые не очевидны из кода. Мера: спорные изменения фиксировать как предложение, а не вносить без подтвержденного инварианта.
- Сквозные тесты могут потребовать подготовки данных. Мера: начинать с route/unit/component тестов рядом с найденным дефектом.
## Критерии готовности
- Каждая исправленная проблема имеет тест или четкую проверку.
- Публичные роуты `/api/categories` и `/api/products` не меняются.
- FSD-границы фронтенда не нарушены.
- API ошибки для админских операций остаются понятными: 400/401/404/409.
- Все релевантные проверки из раздела тестирования пройдены или явно перечислены как не запущенные с причиной.
server/prisma/prisma/dev.db
BIN
View File
Binary file not shown.
server/src/routes/api/__tests__/admin-orders.test.js
+118
View File
@@ -0,0 +1,118 @@
import jwt from '@fastify/jwt'
import Fastify from 'fastify'
import { afterAll, afterEach, beforeAll, beforeEach, describe, expect, it, vi } from 'vitest'
import { prisma } from '../../../lib/prisma.js'
import { registerAdminOrderRoutes } from '../admin-orders.js'
const JWT_SECRET = 'test-secret'
const ADMIN_EMAIL = `admin-orders-${Date.now()}@example.com`
const USER_EMAIL = `admin-orders-user-${Date.now()}@example.com`
let app
let adminUser
let buyer
async function signToken(user) {
return app.jwt.sign({ sub: user.id, email: user.email })
}
async function buildApp() {
const fastify = Fastify({ logger: false })
await fastify.register(jwt, { secret: JWT_SECRET })
fastify.decorate('eventBus', { emit: vi.fn() })
fastify.decorate('verifyAdmin', async (request, reply) => {
try {
await request.jwtVerify()
} catch {
return reply.code(401).send({ error: 'Unauthorized' })
}
if (request.user.email !== ADMIN_EMAIL) {
return reply.code(401).send({ error: 'Admin only' })
}
})
await registerAdminOrderRoutes(fastify)
await fastify.ready()
return fastify
}
async function createOrder(data = {}) {
return prisma.order.create({
data: {
userId: buyer.id,
status: 'PENDING_PAYMENT',
deliveryType: 'delivery',
deliveryFeeLocked: false,
paymentMethod: 'online',
itemsSubtotalCents: 10000,
deliveryFeeCents: 50000,
totalCents: 60000,
currency: 'RUB',
...data,
},
})
}
describe('admin order routes', () => {
beforeAll(async () => {
await prisma.payment.deleteMany()
await prisma.order.deleteMany({ where: { user: { email: { in: [ADMIN_EMAIL, USER_EMAIL] } } } })
await prisma.user.deleteMany({ where: { email: { in: [ADMIN_EMAIL, USER_EMAIL] } } })
adminUser = await prisma.user.create({ data: { email: ADMIN_EMAIL } })
buyer = await prisma.user.create({ data: { email: USER_EMAIL } })
})
beforeEach(async () => {
await prisma.order.deleteMany({ where: { userId: buyer.id } })
app = await buildApp()
})
afterEach(async () => {
await app.close()
vi.clearAllMocks()
})
afterAll(async () => {
await prisma.order.deleteMany({ where: { userId: buyer.id } })
await prisma.user.deleteMany({ where: { id: { in: [adminUser.id, buyer.id] } } })
})
it('summary counts only delivery orders waiting for price approval', async () => {
const token = await signToken(adminUser)
const beforeRes = await app.inject({
method: 'GET',
url: '/api/admin/orders/summary',
headers: { authorization: `Bearer ${token}` },
})
const baseline = beforeRes.json().attentionCount
await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery' })
await createOrder({ deliveryFeeLocked: true, deliveryType: 'delivery' })
await createOrder({ deliveryFeeLocked: false, deliveryType: 'pickup' })
await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery', status: 'PAID' })
const res = await app.inject({
method: 'GET',
url: '/api/admin/orders/summary',
headers: { authorization: `Bearer ${token}` },
})
expect(res.statusCode).toBe(200)
expect(res.json()).toEqual({ attentionCount: baseline + 1 })
})
it('rejects PAID transition while delivery fee is not locked', async () => {
const order = await createOrder({ deliveryFeeLocked: false, deliveryType: 'delivery' })
const token = await signToken(adminUser)
const res = await app.inject({
method: 'PATCH',
url: `/api/admin/orders/${order.id}/status`,
headers: { authorization: `Bearer ${token}` },
payload: { status: 'PAID' },
})
expect(res.statusCode).toBe(409)
expect(res.json().error).toContain('стоимость доставки')
})
})
server/src/routes/api/admin-orders.js
+7
View File
@@ -7,6 +7,8 @@ export async function registerAdminOrderRoutes(fastify) {
const attentionCount = await prisma.order.count({
where: {
status: 'PENDING_PAYMENT',
deliveryType: 'delivery',
deliveryFeeLocked: false,
},
})
return { attentionCount }
@@ -97,6 +99,11 @@ export async function registerAdminOrderRoutes(fastify) {
error: `Нельзя сменить статус ${existing.status}${next}`,
})
}
if (next === 'PAID' && existing.deliveryType === 'delivery' && existing.deliveryFeeLocked === false) {
return reply.code(409).send({
error: 'Сначала подтвердите итоговую стоимость доставки',
})
}
const updated = await prisma.order.update({
where: { id },