Главная Обзор Помощь
Вход
bchanot
/
claude
1
0
Ответвить 0
Файлы Задачи 0 Запросы на слияние 0 Вики
Дерево: 31202e8621
Ветки Метки
claude
/
lib
/
project-archetypes
/
rest-api-node.md

rest-api-node.md 3.2 KB
История Исходник

name: rest-api-node category: api public: false database: optional hosting_hints:

  • vps
  • docker
  • k8s
  • render
  • railway
  • fly audit_stack:
  • analyze
  • code-clean
  • cso
  • perf
  • doc plugins: context7: yes ui-ux-pro-max: no gstack: no ---

REST API (Node.js)

API backend Node.js pure (Express / Fastify / Koa / Hapi / NestJS), sans frontend inclus.

Detection signals

Strong signals (×3)

  • DEP: package.json contient l'un de : "express", "fastify", "koa", "@hapi/hapi", "@nestjs/core"
  • FILE: src/app.ts OR src/server.ts OR src/main.ts AVEC STRING "listen(" OR "createServer"

Medium signals (×2)

  • FILE: src/routes/ OR src/controllers/ OR src/handlers/
  • DEP: ORM — prisma, typeorm, sequelize, drizzle-orm, mongoose, knex
  • DEP: Validation — zod, joi, yup, class-validator

Weak signals (×1)

  • DEP: jsonwebtoken, passport, bcrypt, argon2
  • DEP: pino, winston, morgan (logging)
  • FILE: Dockerfile
  • DIR: tests/ OR src/__tests__/

Counter-signals (exclusion)

  • DEP: react, next, astro, vue → frontend présent, c'est un fullstack (archetype à créer plus tard) ou SPA+API séparé (monorepo)
  • DEP: react-native → mobile

Implications

  • Hébergement : VPS, Docker (Render, Railway, Fly.io), K8s, AWS ECS/Lambda
  • Base de données : FORTEMENT PROBABLE — la plupart des API backend ont une DB
  • SEO/GEO : N/A (API non indexée)
  • Surface sécurité : GRANDE — point d'entrée principal pour attaques (injections, auth, rate limit)
  • UI/UX : N/A

Typical pain points

  • Pas de versioning API (/api/v1/) — flag CLAUDE.md : "Web APIs always versioned"
  • Validation input absente (pas de Zod/Joi/class-validator)
  • SQL injections (string concat dans queries brutes)
  • Auth faible (pas de hash password, ou MD5/SHA1)
  • JWT secret en dur / faible / court
  • CORS * en production
  • Pas de rate limiting (express-rate-limit, @fastify/rate-limit)
  • Pas de helmet / CSP
  • Secrets dans le repo (.env committé)
  • Logs qui fuient PII / tokens
  • Pas de health check (/healthz) pour load balancer
  • Pas d'observability (Sentry / OTel)
  • Pas de tests (intégration absente)
  • Deps obsolètes (npm audit non exécuté)

Interview questions (adaptive)

En plus du set minimum business :

  • Framework : Express / Fastify / NestJS / Koa / Hapi ?
  • Base de données : PostgreSQL / MySQL / MongoDB / SQLite / autre / aucune ?
  • ORM : Prisma / Drizzle / TypeORM / Sequelize / Mongoose / raw SQL ?
  • Auth : JWT / OAuth / session / API key / aucun ?
  • Consommateurs : frontend propre / mobile / tierce partie / interne ?
  • Rate limiting en place ? (oui + comment / non)
  • Observability : Sentry / OpenTelemetry / logs seulement / aucun ?
  • Tests : unitaires + intégration ? couverture cible ?
  • Déploiement : VPS / Docker / Lambda / autre ?
  • Documentation API : OpenAPI/Swagger / Postman / aucune ?

Plugin recommendations

  • context7 : ON — Prisma/Drizzle/Fastify évoluent vite
  • ui-ux-pro-max : OFF
  • gstack : OFF (API non navigable)

Example project layout

src/
  app.ts
  server.ts
  routes/
    v1/
      users.ts
      orders.ts
  controllers/
  services/
  middlewares/
  schemas/   (Zod / Joi)
tests/
Dockerfile