Habilitar Cross Domain Requests

Tenho dúvidas de alguns endpoints necessários caso eu fosse contribuir.

Atualmente qualquer email é considerado válido e não existe uma forma de validar se aquele usuário realmente é dono do email providenciado.

Sugestão:
Adicionar um campo email_confirmed: Boolean no usuário.

Já existe um template de email de boas vindas. Aproveitável para o caso.

Talvez seguir alguns padrões aplicáveis pensando neste link: How to make email confirmation a little easier for your users.

Atualmente é possível sobrecarregar a API com muitas requisições.

É preciso limitar as requisições para previnir abusos e possíveis ataque de força bruta provenientes de API.

Alguns pacotes que podem ajudar:

• express-slow-down
• express-rate-limit

Lembrando que haverá uma ponte do Cloudflare com a API, então soluções da Cloudflare podem ser aplicadas, também.

O token é a garantia de autenticidade, e precisa ter o máximo de segurança possível.

Mudanças necessárias:

• Tempo de validade: 20 minutos
• Conteudo: { user: { permissions }, expiration }

Sugestão:
O usuário não precisa saber que seu Token vence e precisa ser renovado de 20 em 20 minutos. Isso vai ser feito automaticamente pelo cliente através de uma rota de renovação.

A rota de renovação deve garantir que o token a ser renovado é apto à renovação.

Características de um token apto à renovação:

• Ainda não expirou; ou
• Expirou há menos de 24 horas.

Durante a renovação será necessário buscar as (possíveis) novas permissões daquele usuário no banco de dados.

• Adicionar um link público para o código de conduta;
• Adicionar regras de contribuição para o projeto.

Habilitar a possibilidade de usuários colocarem as redes sociais mais comuns no perfil.

Serve para qualquer tipo de perfil.

contact: {
  website: String,
  socials: {
    facebook: String,
    twitter: String,
    linkedin: String,
    github: String,
    youtube: String,
  }
}

Finalizar o módulo de usuário.

• Atualizar dados do usuário
• Listagem de usuários
• Criar usuário
• Atualizar dados do usuário
• Desativar o usuário
• Listagem de um usuário especifico

Listagem de usuários

• rota: {module}/
• método: get
• retorno: User[]

Listagem de um usuário especifico

• rota: {module}/:userId
• método: get
• retorno: User

Criar usuário

• rota: {module}/
• método: post
• retorno: User

Atualizar dados do usuário

Deve aceitar props parciais. Ou seja: apenas atualizar props enviadas.

• rota: {module}/:userId
• método: put
• retorno: User

Desativar o usuário

Não vamos permitir que usuários sejam deletados. Apenas uma chave vai dizer se ele está ativo ou não.

• rota: {module}/:userId
• método: put
• retorno: User

Quando utilizo os métodos findOneAndUpdate ou findOneAndDelete o mongoose dispara esse aviso de deprecation:

DeprecationWarning: Mongoose: `findOneAndUpdate()` and `findOneAndDelete()` without the `useFindAndModify` option set to false are deprecated.

Atualmente o método @controller/user.updateProps atualiza informações aninhadas, mas não mantém os filhos que não foram atualizados.

Sugestão:
Arrumar uma forma de mesclar o objeto atual com o novo, e salvar este resultado.

Talvez utilizando o lodash _.merge() consiga resolver isso.

Lembrando que o request.me não é confiável para atualizar propriedades, pois o token pode estar desatualizado. Será necessário fazer uma nova consulta pelo me._id.

Source atual citado

Atualmente a API só possui um ambiente de desenvolvimento.
Precisamos de um script para empacotar o typescript e gerar o bundle.

Atualmente, o que transpila o typescript é o sucrase.
Mas não é a melhor opção para o build.

As interfaces estão avulsas, bagunçadas no projeto.

Refatorar as exportações e importações, por meio do alias @interfaces

Implementar validação de dados por meio de um DTO básico.

Sugestão: usar o pacote class-validator, que da suporte para decorators.

A rota de login precisa receber um middleware de rate limit especial, com valores menores, para minimizar ataques de forca bruta.

As configuracoes podem ser setadas diretamente na exportacao do middleware, visto que o valor eh constante.

A cada 2 minutos, apenas 10 requisicoes na rota deverao ser permitidas.

O Sucrase é muito rápido, mas seu build é bem fraco e, por não dar suporte aos decorators do typescript, não podemos mais usar no projeto, visto que um dos pacotes class-validator utiliza decorators.