docs(readme): refine project narrative and engineering roadmap

gabedalmolin · gabedalmolin · commit c8678b4c6406 · 2026-02-17T15:32:13.000-03:00
diff --git a/README.md b/README.md
@@ -2,18 +2,18 @@
 
 ![CI](https://github.com/john-dalmolin/auth-api-node/actions/workflows/ci.yml/badge.svg)
 
-API de autenticação e gestão de sessão construída com foco em padrões de engenharia de software para produção: arquitetura em camadas, rastreabilidade de requisições, documentação OpenAPI, testes automatizados e CI com banco/redis reais.
+API de autenticação e gestão de sessão com foco em robustez de backend: arquitetura em camadas, controle de sessão com rotação de token, rate limiting com Redis, documentação OpenAPI e pipeline de qualidade com testes automatizados.
 
-## Visão do projeto
+## Objetivo
 
-Este repositório foi evoluído como base de estudo e portfólio técnico para demonstrar decisões de backend além do CRUD.
+Este projeto foi construído como laboratório de engenharia aplicada para portfólio, com foco em decisões técnicas próximas de ambiente real de produção.
 
-Escopo principal:
+O escopo principal cobre:
 
 - autenticação com `accessToken` + `refreshToken` com rotação;
 - revogação de sessão por token e por usuário;
-- validação e tratamento de erros consistentes;
-- observabilidade mínima para operação real;
+- validação de entrada e tratamento de erros consistente;
+- observabilidade mínima para operação;
 - qualidade contínua com lint, cobertura e CI.
 
 ## Snapshot de maturidade (fev/2026)
@@ -30,10 +30,10 @@ Escopo principal:
 - Express 5
 - TypeScript 5.9
 - Prisma 7 + PostgreSQL
-- Redis (ioredis)
+- Redis (`ioredis`)
 - JWT (`jsonwebtoken`) + `bcryptjs`
-- Zod para validação de payload
-- Pino para logging estruturado
+- Zod (validação de payload)
+- Pino (logging estruturado)
 - Vitest + Jest + Supertest
 - Biome (lint/format)
 - Swagger UI + swagger-jsdoc
@@ -43,51 +43,36 @@ Escopo principal:
 Padrão em camadas:
 
 - `routes`: contrato HTTP e composição de middlewares
-- `controllers`: orquestração de entrada/saída
+- `controllers`: orquestração de request/response
 - `services`: regras de negócio
 - `repositories`: persistência e consultas
 
 Middlewares críticos:
 
-- `requestId`: correlação de requisição
+- `requestId`: correlação por requisição
 - `logger`: log estruturado com contexto
 - `validate`: validação de entrada com Zod
 - `authMiddleware`: proteção de rotas com JWT
-- `rateLimiter`: proteção anti-abuso com Redis + fallback memória
-- `errorHandler`: resposta de erro unificada
+- `rateLimiter`: proteção anti-abuso com Redis + fallback em memória
+- `errorHandler`: normalização de respostas de erro
 
-## Fluxo de autenticação
+## Fluxo de autenticação e sessão
 
-1. `POST /auth/register` cria usuário com senha hasheada.
-2. `POST /auth/login` valida credenciais e retorna `accessToken` + `refreshToken`.
-3. `POST /auth/refresh` valida refresh token, revoga o antigo e emite novo par.
-4. `POST /auth/logout` revoga refresh token atual.
-5. `POST /auth/logout-session` e `POST /auth/logout-all` encerram sessões específicas ou todas.
+1. `POST /auth/register`: cria usuário com senha hasheada.
+2. `POST /auth/login`: valida credenciais e emite `accessToken` + `refreshToken`.
+3. `POST /auth/refresh`: valida refresh token, revoga o token anterior e gera novo par.
+4. `POST /auth/logout`: revoga a sessão atual.
+5. `POST /auth/logout-session` e `POST /auth/logout-all`: encerram sessões específicas ou todas.
 
 ## Segurança e confiabilidade implementadas
 
 - refresh token persistido com hash (`tokenHash`) no banco
 - rotação por `jti` com revogação explícita
-- validação de segredo JWT no startup (fail fast)
+- validação de `JWT_SECRET` no startup (fail fast)
 - tratamento centralizado de erro com `AppError`
-- rate limit em endpoints sensíveis
-- logs de aplicação ajustados para reduzir ruído em ambiente de teste
-- encerramento adequado de conexões de teste para evitar open handles
-
-## Progresso técnico recente
-
-Últimas entregas relevantes em `main`:
-
-- [#14](https://github.com/john-dalmolin/auth-api-node/pull/14) estabilidade de runtime de testes (teardown Prisma)
-- [#15](https://github.com/john-dalmolin/auth-api-node/pull/15) aumento de branch coverage em fluxos de auth/rate limiter
-- [#16](https://github.com/john-dalmolin/auth-api-node/pull/16) redução de ruído de logs em execução de teste
-- [#18](https://github.com/john-dalmolin/auth-api-node/pull/18) cobertura completa de branches em `src/config/prisma.ts`
-- [#19](https://github.com/john-dalmolin/auth-api-node/pull/19) cobertura completa de branches em `src/logger.ts`
-- [#20](https://github.com/john-dalmolin/auth-api-node/pull/20) cobertura completa de branches em `validate.ts` e `errorHandler.ts`
-
-## Backlog atual
-
-As próximas tasks técnicas estão em `to-do.txt`, separando entregas concluídas de próximos incrementos de engenharia.
+- rate limit para endpoints sensíveis
+- redução de ruído em logs de teste
+- teardown de recursos de teste para evitar open handles
 
 ## Setup local
 
@@ -128,6 +113,7 @@ Para testes, usar `tests/.env.test`.
 - `npm run format`: valida formatação
 - `npm test`: suíte principal (Vitest)
 - `npm run test:coverage:jest`: cobertura com Jest
+- `npm run test:coverage:vitest`: cobertura com Vitest
 - `npm run typecheck`: verificação de tipos
 
 ## Validação rápida
@@ -138,7 +124,6 @@ npm run test:coverage:jest
 npx jest --config jest.config.cjs --runInBand --detectOpenHandles --openHandlesTimeout=5000
 ```
 
-
 ## Endpoints principais
 
 - `POST /auth/register`
@@ -155,19 +140,29 @@ npx jest --config jest.config.cjs --runInBand --detectOpenHandles --openHandlesT
 - `GET /docs`
 - `GET /docs.json`
 
-## Roadmap técnico
+## Progresso técnico recente
 
-### Próximo ciclo
+Últimas entregas relevantes em `main`:
+
+- [#14](https://github.com/john-dalmolin/auth-api-node/pull/14) estabilidade de runtime de testes (teardown Prisma)
+- [#15](https://github.com/john-dalmolin/auth-api-node/pull/15) aumento de branch coverage em fluxos de auth/rate limiter
+- [#16](https://github.com/john-dalmolin/auth-api-node/pull/16) redução de ruído de logs em execução de teste
+- [#18](https://github.com/john-dalmolin/auth-api-node/pull/18) cobertura completa de branches em `src/config/prisma.ts`
+- [#19](https://github.com/john-dalmolin/auth-api-node/pull/19) cobertura completa de branches em `src/logger.ts`
+- [#20](https://github.com/john-dalmolin/auth-api-node/pull/20) cobertura completa de branches em `validate.ts` e `errorHandler.ts`
+- [#21](https://github.com/john-dalmolin/auth-api-node/pull/21) cobertura completa de branches em rate limiter e redis config
+
+## Roadmap técnico
 
-- ampliar testes de falhas de infraestrutura (Redis/DB indisponível)
-- consolidar decisão final Vitest x Jest para cobertura
-- expandir regras de sessão por dispositivo (metadata mais rica)
+Próximos incrementos:
 
-### Evolução futura
+- consolidar decisão final de cobertura (Jest vs Vitest vs modelo híbrido documentado)
+- ampliar cenários de indisponibilidade externa (Redis e DB)
+- evoluir regras de sessão por dispositivo (metadados mais ricos)
+- documentar ADR de sessão/rotação
+- reforçar checklist de segurança (dependências, segredo e expiração)
 
-- endurecimento de segurança (revisão de dependências e policy de segredo)
-- maior observabilidade (métricas e tracing)
-- preparo para cenário multi-instância com limites distribuídos avançados
+Backlog detalhado: `to-do.txt`.
 
 ## Estrutura de pastas
 
