template-monorepo/test/e2e/auth_test.go

//go:build e2e

package e2e

import (
	"encoding/json"
	"net/http"
	"testing"

	"github.com/stretchr/testify/require"
)

// TestZZZ_AuthTokenRefreshAndLogout runs last (separate go test invocation).
// It uses an isolated refresh so seed tokens used by member/permission stay valid.
func TestZZZ_AuthTokenRefreshAndLogout(t *testing.T) {
	e2eStep(t, "A-10/A-11", "POST", "/api/v1/auth/{token/refresh,logout}", "刷新 token → 用新 access 打 /me → logout → 黑名單後再打 /me=401")
	c := isolatedAuthClient(t)

	refreshEnv := c.DoExpectOK(t, http.MethodPost, "/api/v1/auth/token/refresh", map[string]string{
		"refresh_token": c.Fixture.RefreshToken,
	}, false)
	var pair struct {
		AccessToken  string `json:"access_token"`
		RefreshToken string `json:"refresh_token"`
		UID          string `json:"uid"`
	}
	require.NoError(t, json.Unmarshal(refreshEnv.Data, &pair))
	require.Equal(t, c.Fixture.UID, pair.UID)

	c.Fixture.AccessToken = pair.AccessToken
	c.Fixture.RefreshToken = pair.RefreshToken

	c.DoExpectOK(t, http.MethodGet, "/api/v1/members/me", nil, true)
	c.DoExpectOK(t, http.MethodPost, "/api/v1/auth/logout", nil, true)

	resp, env := c.Do(t, http.MethodGet, "/api/v1/members/me", nil, true)
	require.Equal(t, http.StatusUnauthorized, resp.StatusCode)
	require.NotEqual(t, int64(successCode), env.Code)
}

func TestAuth_MissingBearer_401(t *testing.T) {
	e2eStep(t, "A-12", "GET", "/api/v1/members/me", "未帶 Bearer → 401（AuthJWT middleware）")
	c := NewClient(t)
	resp, env := c.Do(t, http.MethodGet, "/api/v1/members/me", nil, false)
	require.Equal(t, http.StatusUnauthorized, resp.StatusCode)
	require.NotEqual(t, int64(successCode), env.Code)
}

func TestAuth_PublicValidationErrors(t *testing.T) {
	e2eStep(t, "A-13", "POST", "/api/v1/auth/*", "公開 Auth 端點輸入驗證錯誤 → 400 + Facade scope")
	c := NewClient(t)

	cases := []struct {
		name string
		path string
		body any
	}{
		{
			name: "register missing required fields",
			path: "/api/v1/auth/register",
			body: map[string]any{},
		},
		{
			name: "login invalid email and password",
			path: "/api/v1/auth/login",
			body: map[string]any{
				"tenant_slug": c.Fixture.TenantSlug,
				"email":       "not-an-email",
				"password":    "short",
			},
		},
		{
			name: "token refresh missing token",
			path: "/api/v1/auth/token/refresh",
			body: map[string]any{},
		},
		{
			name: "social login invalid provider",
			path: "/api/v1/auth/login/social/start",
			body: map[string]any{
				"tenant_slug":  c.Fixture.TenantSlug,
				"provider":     "github",
				"redirect_uri": "http://127.0.0.1/callback",
			},
		},
	}

	for _, tc := range cases {
		t.Run(tc.name, func(t *testing.T) {
			env := c.DoExpectHTTP(t, http.MethodPost, tc.path, tc.body, false, http.StatusBadRequest)
			require.NotEqual(t, int64(successCode), env.Code)
			// Facade scope 10101000 = InputInvalidFormat（gateway parse / validate 進入點）
			require.Equal(t, int64(10), env.Code/1_000_000, "expected Facade scope, got code=%d", env.Code)
		})
	}
}
-												add member totp

											
										
										
											2026-05-21 23:52:39 +00:00
+								//go:build e2e
 								package e2e
 								import (
 									"encoding/json"
 									"net/http"
 									"testing"
 									"github.com/stretchr/testify/require"
 								)
 								// TestZZZ_AuthTokenRefreshAndLogout runs last (separate go test invocation).
 								// It uses an isolated refresh so seed tokens used by member/permission stay valid.
 								func TestZZZ_AuthTokenRefreshAndLogout(t *testing.T) {
-												test(e2e): 加 banner / e2e-list / k6 風格 user journey

讓「我有哪些測試、現在在測什麼」一眼看得到，並補上跨 endpoint 的狀態流測試：

每個測試開頭印中文 banner
- 新增 e2eStep(t, id, method, path, desc) helper（test/e2e/setup_test.go）
- 17 個 contract test 開頭加 banner，go test -v 會逐個顯示
    ▶ [M-01] GET /api/v1/members/me — 讀 profile（tenant/uid/status）
- 對外 ID 與 docs/e2e-testing.md 的測試覆蓋矩陣對齊

新增 make e2e-list
- scripts/e2e-list.sh 掃 _test.go，分兩節印 contract tests + journeys；
  每個 journey 列出所有 step ID + 描述（Step 用 ▶、SkipStep 用 ⊘）

scripts 彩色 step banner + optional MailHog
- scripts/e2e-lib.sh 抽共用 helpers（e2e_step/info/ok/warn、e2e_print_services）
- e2e-run.sh / e2e-up.sh 改用 step banner + 服務面板（執行完印出 Mongo/Redis/
  Gateway/MailHog 的 URL）
- E2E_WITH_SMTP=1 會額外起 MailHog（http://localhost:8025），方便肉眼確認流程

k6 風格 user journey
- 新增 test/e2e/journey.go：NewJourney + Step + SkipStep + Summary，
  任一步 fail 自動 skip 後續，輸出 ▶ [J-x.y] 階層 banner
- J-1 Tenant Owner 入職第一天（12 steps）：/me → PATCH → email verify
  → phone verify → TOTP enroll/verify/replay/disable
- J-2 Tenant Admin 建 qa_engineer 角色 → 指派 → 二人視角驗證 → 撤銷（8 steps）
- J-3 Session 生命週期 refresh → /me → logout → 舊 token 401（4 steps，ZZZ 排最後）
- J-4 完整註冊 → 登入（5 steps stub，標 SkipStep；接 ZITADEL container 後改 Step 即可）
- make e2e-journey / make test-e2e-journey 拆獨立 target；e2e-run.sh 透過
  E2E_MODE=journey + E2E_TEST_PATTERN_ZZZ 切換

docs/e2e-testing.md
- 首節改為「我現在有哪些測試？make e2e-list」並附 banner 範例輸出
- 加 Journeys 章節：journey 列表、執行範例、失敗時的輸出、寫新 journey 範本
- 補 e2e-journey / test-e2e-journey / E2E_WITH_SMTP 環境變數

Co-authored-by: Cursor <cursoragent@cursor.com>

											
										
										
											2026-05-22 09:18:36 +00:00
+									e2eStep(t, "A-10/A-11", "POST", "/api/v1/auth/{token/refresh,logout}", "刷新 token → 用新 access 打 /me → logout → 黑名單後再打 /me=401")
-												add member totp

											
										
										
											2026-05-21 23:52:39 +00:00
+									c := isolatedAuthClient(t)
 									refreshEnv := c.DoExpectOK(t, http.MethodPost, "/api/v1/auth/token/refresh", map[string]string{
 										"refresh_token": c.Fixture.RefreshToken,
 									}, false)
 									var pair struct {
 										AccessToken  string `json:"access_token"`
 										RefreshToken string `json:"refresh_token"`
 										UID          string `json:"uid"`
 									}
 									require.NoError(t, json.Unmarshal(refreshEnv.Data, &pair))
 									require.Equal(t, c.Fixture.UID, pair.UID)
 									c.Fixture.AccessToken = pair.AccessToken
 									c.Fixture.RefreshToken = pair.RefreshToken
 									c.DoExpectOK(t, http.MethodGet, "/api/v1/members/me", nil, true)
 									c.DoExpectOK(t, http.MethodPost, "/api/v1/auth/logout", nil, true)
 									resp, env := c.Do(t, http.MethodGet, "/api/v1/members/me", nil, true)
 									require.Equal(t, http.StatusUnauthorized, resp.StatusCode)
 									require.NotEqual(t, int64(successCode), env.Code)
 								}
 								func TestAuth_MissingBearer_401(t *testing.T) {
-												test(e2e): 加 banner / e2e-list / k6 風格 user journey

讓「我有哪些測試、現在在測什麼」一眼看得到，並補上跨 endpoint 的狀態流測試：

每個測試開頭印中文 banner
- 新增 e2eStep(t, id, method, path, desc) helper（test/e2e/setup_test.go）
- 17 個 contract test 開頭加 banner，go test -v 會逐個顯示
    ▶ [M-01] GET /api/v1/members/me — 讀 profile（tenant/uid/status）
- 對外 ID 與 docs/e2e-testing.md 的測試覆蓋矩陣對齊

新增 make e2e-list
- scripts/e2e-list.sh 掃 _test.go，分兩節印 contract tests + journeys；
  每個 journey 列出所有 step ID + 描述（Step 用 ▶、SkipStep 用 ⊘）

scripts 彩色 step banner + optional MailHog
- scripts/e2e-lib.sh 抽共用 helpers（e2e_step/info/ok/warn、e2e_print_services）
- e2e-run.sh / e2e-up.sh 改用 step banner + 服務面板（執行完印出 Mongo/Redis/
  Gateway/MailHog 的 URL）
- E2E_WITH_SMTP=1 會額外起 MailHog（http://localhost:8025），方便肉眼確認流程

k6 風格 user journey
- 新增 test/e2e/journey.go：NewJourney + Step + SkipStep + Summary，
  任一步 fail 自動 skip 後續，輸出 ▶ [J-x.y] 階層 banner
- J-1 Tenant Owner 入職第一天（12 steps）：/me → PATCH → email verify
  → phone verify → TOTP enroll/verify/replay/disable
- J-2 Tenant Admin 建 qa_engineer 角色 → 指派 → 二人視角驗證 → 撤銷（8 steps）
- J-3 Session 生命週期 refresh → /me → logout → 舊 token 401（4 steps，ZZZ 排最後）
- J-4 完整註冊 → 登入（5 steps stub，標 SkipStep；接 ZITADEL container 後改 Step 即可）
- make e2e-journey / make test-e2e-journey 拆獨立 target；e2e-run.sh 透過
  E2E_MODE=journey + E2E_TEST_PATTERN_ZZZ 切換

docs/e2e-testing.md
- 首節改為「我現在有哪些測試？make e2e-list」並附 banner 範例輸出
- 加 Journeys 章節：journey 列表、執行範例、失敗時的輸出、寫新 journey 範本
- 補 e2e-journey / test-e2e-journey / E2E_WITH_SMTP 環境變數

Co-authored-by: Cursor <cursoragent@cursor.com>

											
										
										
											2026-05-22 09:18:36 +00:00
+									e2eStep(t, "A-12", "GET", "/api/v1/members/me", "未帶 Bearer → 401（AuthJWT middleware）")
-												add member totp

											
										
										
											2026-05-21 23:52:39 +00:00
+									c := NewClient(t)
 									resp, env := c.Do(t, http.MethodGet, "/api/v1/members/me", nil, false)
 									require.Equal(t, http.StatusUnauthorized, resp.StatusCode)
 									require.NotEqual(t, int64(successCode), env.Code)
 								}
 								func TestAuth_PublicValidationErrors(t *testing.T) {
-												test(e2e): 加 banner / e2e-list / k6 風格 user journey

讓「我有哪些測試、現在在測什麼」一眼看得到，並補上跨 endpoint 的狀態流測試：

每個測試開頭印中文 banner
- 新增 e2eStep(t, id, method, path, desc) helper（test/e2e/setup_test.go）
- 17 個 contract test 開頭加 banner，go test -v 會逐個顯示
    ▶ [M-01] GET /api/v1/members/me — 讀 profile（tenant/uid/status）
- 對外 ID 與 docs/e2e-testing.md 的測試覆蓋矩陣對齊

新增 make e2e-list
- scripts/e2e-list.sh 掃 _test.go，分兩節印 contract tests + journeys；
  每個 journey 列出所有 step ID + 描述（Step 用 ▶、SkipStep 用 ⊘）

scripts 彩色 step banner + optional MailHog
- scripts/e2e-lib.sh 抽共用 helpers（e2e_step/info/ok/warn、e2e_print_services）
- e2e-run.sh / e2e-up.sh 改用 step banner + 服務面板（執行完印出 Mongo/Redis/
  Gateway/MailHog 的 URL）
- E2E_WITH_SMTP=1 會額外起 MailHog（http://localhost:8025），方便肉眼確認流程

k6 風格 user journey
- 新增 test/e2e/journey.go：NewJourney + Step + SkipStep + Summary，
  任一步 fail 自動 skip 後續，輸出 ▶ [J-x.y] 階層 banner
- J-1 Tenant Owner 入職第一天（12 steps）：/me → PATCH → email verify
  → phone verify → TOTP enroll/verify/replay/disable
- J-2 Tenant Admin 建 qa_engineer 角色 → 指派 → 二人視角驗證 → 撤銷（8 steps）
- J-3 Session 生命週期 refresh → /me → logout → 舊 token 401（4 steps，ZZZ 排最後）
- J-4 完整註冊 → 登入（5 steps stub，標 SkipStep；接 ZITADEL container 後改 Step 即可）
- make e2e-journey / make test-e2e-journey 拆獨立 target；e2e-run.sh 透過
  E2E_MODE=journey + E2E_TEST_PATTERN_ZZZ 切換

docs/e2e-testing.md
- 首節改為「我現在有哪些測試？make e2e-list」並附 banner 範例輸出
- 加 Journeys 章節：journey 列表、執行範例、失敗時的輸出、寫新 journey 範本
- 補 e2e-journey / test-e2e-journey / E2E_WITH_SMTP 環境變數

Co-authored-by: Cursor <cursoragent@cursor.com>

											
										
										
											2026-05-22 09:18:36 +00:00
+									e2eStep(t, "A-13", "POST", "/api/v1/auth/*", "公開 Auth 端點輸入驗證錯誤 → 400 + Facade scope")
-												add member totp

											
										
										
											2026-05-21 23:52:39 +00:00
+									c := NewClient(t)
 									cases := []struct {
 										name string
 										path string
 										body any
 									}{
 										{
 											name: "register missing required fields",
 											path: "/api/v1/auth/register",
 											body: map[string]any{},
 										},
 										{
 											name: "login invalid email and password",
 											path: "/api/v1/auth/login",
 											body: map[string]any{
 												"tenant_slug": c.Fixture.TenantSlug,
 												"email":       "not-an-email",
 												"password":    "short",
 											},
 										},
 										{
 											name: "token refresh missing token",
 											path: "/api/v1/auth/token/refresh",
 											body: map[string]any{},
 										},
 										{
 											name: "social login invalid provider",
 											path: "/api/v1/auth/login/social/start",
 											body: map[string]any{
 												"tenant_slug":  c.Fixture.TenantSlug,
 												"provider":     "github",
 												"redirect_uri": "http://127.0.0.1/callback",
 											},
 										},
 									}
 									for _, tc := range cases {
 										t.Run(tc.name, func(t *testing.T) {
 											env := c.DoExpectHTTP(t, http.MethodPost, tc.path, tc.body, false, http.StatusBadRequest)
 											require.NotEqual(t, int64(successCode), env.Code)
-												test(e2e): 加 banner / e2e-list / k6 風格 user journey

讓「我有哪些測試、現在在測什麼」一眼看得到，並補上跨 endpoint 的狀態流測試：

每個測試開頭印中文 banner
- 新增 e2eStep(t, id, method, path, desc) helper（test/e2e/setup_test.go）
- 17 個 contract test 開頭加 banner，go test -v 會逐個顯示
    ▶ [M-01] GET /api/v1/members/me — 讀 profile（tenant/uid/status）
- 對外 ID 與 docs/e2e-testing.md 的測試覆蓋矩陣對齊

新增 make e2e-list
- scripts/e2e-list.sh 掃 _test.go，分兩節印 contract tests + journeys；
  每個 journey 列出所有 step ID + 描述（Step 用 ▶、SkipStep 用 ⊘）

scripts 彩色 step banner + optional MailHog
- scripts/e2e-lib.sh 抽共用 helpers（e2e_step/info/ok/warn、e2e_print_services）
- e2e-run.sh / e2e-up.sh 改用 step banner + 服務面板（執行完印出 Mongo/Redis/
  Gateway/MailHog 的 URL）
- E2E_WITH_SMTP=1 會額外起 MailHog（http://localhost:8025），方便肉眼確認流程

k6 風格 user journey
- 新增 test/e2e/journey.go：NewJourney + Step + SkipStep + Summary，
  任一步 fail 自動 skip 後續，輸出 ▶ [J-x.y] 階層 banner
- J-1 Tenant Owner 入職第一天（12 steps）：/me → PATCH → email verify
  → phone verify → TOTP enroll/verify/replay/disable
- J-2 Tenant Admin 建 qa_engineer 角色 → 指派 → 二人視角驗證 → 撤銷（8 steps）
- J-3 Session 生命週期 refresh → /me → logout → 舊 token 401（4 steps，ZZZ 排最後）
- J-4 完整註冊 → 登入（5 steps stub，標 SkipStep；接 ZITADEL container 後改 Step 即可）
- make e2e-journey / make test-e2e-journey 拆獨立 target；e2e-run.sh 透過
  E2E_MODE=journey + E2E_TEST_PATTERN_ZZZ 切換

docs/e2e-testing.md
- 首節改為「我現在有哪些測試？make e2e-list」並附 banner 範例輸出
- 加 Journeys 章節：journey 列表、執行範例、失敗時的輸出、寫新 journey 範本
- 補 e2e-journey / test-e2e-journey / E2E_WITH_SMTP 環境變數

Co-authored-by: Cursor <cursoragent@cursor.com>

											
										
										
											2026-05-22 09:18:36 +00:00
+											// Facade scope 10101000 = InputInvalidFormat（gateway parse / validate 進入點）
 											require.Equal(t, int64(10), env.Code/1_000_000, "expected Facade scope, got code=%d", env.Code)
-												add member totp

											
										
										
											2026-05-21 23:52:39 +00:00
+										})
 									}
 								}