🖥Задача по бэкенду 1

[cactys]

Резюме:

Backend

Критерии, влияющие на работоспособность

• [x] В репозитории есть все необходимые инфраструктурные файлы:
  • [x] в проекте есть package.json;
  • [x] .editorconfig;
  • [x] .eslintrc, расширяющий конфигурацию airbnb-base, а также необходимые для работы линтера dev-зависимости;
  • [x] .gitignore.
  • [x] в .eslintrc добавлено исключение для _id. Директивы eslint-disable, eslint-disable-line и eslint-disable-next-line запрещены. Присутствуют блокировки вида eslint-disable.
• [x] Нет ошибок линтера. При выполнении команды npx eslint . они должны отсутствовать. Ошибок не должно быть без блокировок.
• [x] В разделе scripts файла package.json есть команды:
  • [x] npm run start, которая запускает сервер на localhost:3000;
  • [x] npm run dev, которая запускает сервер на localhost:3000 с хот релоудом.
• [x] Описанные роуты работают корректно:
  • [x] запрос на GET /users/me возвращает информацию о пользователе (email и имя);
  • [x] PATCH /users/me — обновляет информацию о пользователе;
  • [x] GET /movies — все сохранённые пользователем фильмы;
  • [x] POST /movies — создаёт фильм с переданными в теле данными;
  • [x] DELETE /movies/movieId — удаляет сохранённый фильмы по _id; При успешном удалении возвращается что-то странное.
  • [x] POST /signup — создаёт пользователя с переданными в теле данными;
  • [x] POST /signin — возвращает JWT, если в теле запроса переданы правильные почта и пароль.
  • [x] Если вы сохраняете JWT в куках, роут /signout должен удалять JWT из куки.
• [x] Пользователь не может удалить сохранённый фильм из профиля другого пользователя.
• [x] Все роуты, кроме /signin и /signup, защищены авторизацией. Не защищен роут /signout.
• [x] Роуты пользователей и роуты фильмов описаны в отдельных файлах.
• [x] Ошибки API обрабатываются:
  • [x] используются статус-коды ошибок: 400, 401, 403, 404, 409, 500;
  • [x] если в запросе что-то не так, сервер возвращает статус ответа, который соответствует типу ошибки;
  • [x] сообщение об ошибке соответсвует ее типу; 1. Неверное сообщение. При попытке авторизироваться с неверными данными нужно сообщать о том, что данные не верны.
    2. Неверное сообщение. CastError возникает при невалидном айдишнике. На скриншоте одно из мест в коде.
    3. Неверная ошибка. Объяснение в предыдущем пункте.
    
  • [x] асинхронные обработчики завершены блоком catch;
  • [x] API не возвращает стандартных ошибок базы данных или Node.js.
• [x] Реализовано бережное хранение пароля:
  • [x] пароль хранится в виде хеша;
  • [x] API не возвращает хеш пароля клиенту.
• [x] Валидация реализована верно:
  • [x] Запрос валидируется перед передачей контроллеру. Тело и, где необходимо, заголовки и параметры проверяются по соответствующим схемам. Если запрос не соответствует схеме, обработка не передаётся контроллеру, и клиент получает ошибку валидации. 1. Параметр objectId при удалении фильма должен быть обязательным. 2. Поле name при регистрации должно быть обязательным.
  • [x] Данные валидируются перед добавлением в базу.
• [x] В production-режиме адрес базы данных берётся из process.env.
• [x] К серверу можно обратиться по https по адресу домена, указанному в README.md.
• [x] Правильно реализовано хранение секретного ключа для создания JWT:
  • [x] для продакшн сборки он хранится в .env файле — этот файл не добавляется в git;
  • [x] в режиме разработки (при process.env.NODE_ENV !== 'production') код запускается и работает и без .env файла. Приложение не запускается без .env файла. Для режима разработки: отсутствует адрес базы + отсутствует порт + разные секретные ключи для токена.

Хорошие практики

• [x] Все роуты подключены в файле index.js, который находится в папке routes. Оттуда единый роут подключается в файле app.js. Роут 'Страница не найдена' подключен отдельно.
• [x] Асинхронные операции реализованы промисами или async/await.
• [x] Валидация описана в отдельном модуле. Валидация описана в роутах.
• [x] Настроено логгирование:
  • [x] запросы и ответы записываются в файл request.log;
  • [x] ошибки записываются в файл error.log;
  • [x] файлы логов не добавляются в репозиторий.
• [x] Ошибки обрабатываются централизованным обработчиком.
• [x] Централизованный обработчик ошибок описан в отдельном модуле. Обработчик описан в app.js.
• [x] API приложения располагается на домене вида: name.zone/api, а не просто name.zone

Рекомендации

• [x] Для ошибок API созданы классы, расширяющие конструктор Error.
• [ ] Используется модуль Helmet для установки заголовков, связанных с безопасностью. Модуль не используется.
• [ ] Конфигурация и константы в отдельных файлах:
  • [ ] адрес Mongo-сервера в режиме разработки вынесен в отдельный конфигурационный файл; Адрес для режима разработки отсутствует.
  • [ ] сообщения ответов и ошибок (константы приложения) вынесены в отдельный файл с константами. Сообщения прописаны вручную.
• [ ] Настроен rate limiter: число запросов с одного IP в единицу времени ограничено. Модуль не используется.
• [ ] Rate limiter сконфигурирован в отдельном файле и импортируется в app.js. Модуль не используется.
• [x] API размещено на отдельном поддомене, например api.movies-explorer.nomoreparties.co.
• [x] Для имени базы данных используется moviesdb. Адрес для режима разработки отсутствует. Проверить имя базы не возможно.

Количество баллов: 39

Доп. Комментарии:

1. Лишняя проверка + неправильное название переменной. Метод find всегда возвращает массив. Если документов в базе нет, то массив пустой.
2. При создании фильма можно обойтись без паровоза деструктуризации:

   Movie.create({ ...req.body, owner: req.user._id })

3. Для удаления кук используйте метод clearCookie.
4. Лишний return null в auth.
5. Лишний /api для все роутов. Ваш бекэнд ита лежить на поддомене с api.

[cactys]

• [x] Все роуты, кроме /signin и /signup, защищены авторизацией. Не защищен роут 'Страница не найдена'.
  • [x] если в запросе что-то не так, сервер возвращает статус ответа, который соответствует типу ошибки;
  • [x] сообщение об ошибке соответсвует ее типу; 1. Неверное сообщение. CastError возникает при невалидном айдишнике.

Перенесено в ToDo:

• [ ] Используется модуль Helmet для установки заголовков, связанных с безопасностью. Модуль не используется.
• [ ] Конфигурация и константы в отдельных файлах:
  • [ ] сообщения ответов и ошибок (константы приложения) вынесены в отдельный файл с константами. Присутствуют сообщения, прописанные вручную.
• [ ] Настроен rate limiter: число запросов с одного IP в единицу времени ограничено. Модуль не используется.
• [ ] Rate limiter сконфигурирован в отдельном файле и импортируется в app.js. Модуль не используется.