NestJS

Die Anwendung nach Modulen strukturieren, die fachliche Fähigkeiten abbilden, nicht beliebige Ordner.

Controller auf HTTP-Transport fokussieren, während Services das eigentliche Domänenverhalten tragen.

Dependency Injection nutzen, damit Orchestrierung, Tests und Austausch von Kollaboratoren vorhersehbar bleiben.

Das Framework als Werkzeug für Systemgrenzen behandeln, nicht als dekorative Schicht über unstrukturiertem Code.

APIs bereitstellen, die öffentliche Websites, mobile Apps, Admin-Dashboards und interne Workflows bedienen.

Authentifizierung, Berechtigungen, Geschäftsregeln und Seiteneffekte über alle Einstiegspunkte konsistent halten.

Module so entwerfen, dass Produktwachstum nicht automatisch zu einem monolithischen Service mit versteckten Abhängigkeiten führt.

Das Backend auf spätere Themen wie Benachrichtigungen, Audit-Logs, Billing, Medien, Support und Analytics vorbereiten.

Modulgrenzen entlang der Fachsprache definieren: users, auth, billing, chat, claims, wallet oder gamification.

Klare öffentliche Services bereitstellen, statt jedem Modul direkten Zugriff in jedes andere Modul zu erlauben.

Facades, Readers, Orchestratoren und Domain Services trennen, wenn die Komplexität es rechtfertigt.

Riesige Services vermeiden, die gleichzeitig Eingaben validieren, Queries ausführen, Events auslösen und Antworten formatieren.

DTOs nutzen, um die akzeptierte Form öffentlicher Eingaben zu definieren, statt rohen Request Bodies zu vertrauen.

Swagger-Beschreibungen, Beispiele, Statuscodes und Validierungsdekoratoren konsistent halten.

Fehlerantworten und Grenzfälle dokumentieren, damit API-Konsumenten nicht raten müssen.

OpenAPI-Werkzeuge wie Schemathesis einsetzen, um Abweichungen zwischen Dokumentation und Implementierung zu erkennen.

Guards nutzen, um Authentifizierung, Rollen, Besitz und sensible Zugriffsregeln explizit durchzusetzen.

Alle öffentlichen Eingaben validieren und DTOs nicht abschwächen, nur damit Tests oder Demos bestehen.

Geschäftsfehler stabil, lesbar und sicher für öffentliche APIs halten.

Sensible Flows wie Login, Refresh Tokens, Admin-Zugriff, Billing, Uploads und Kontoänderungen schützen.

Prisma-Transaktionen für Workflows nutzen, die mehrere zusammenhängende Änderungen gemeinsam committen müssen.

Idempotency Keys, Herkunftsreferenzen und Unique Constraints nahe an der Geschäftsregel halten, die sie schützen.

Wichtige Persistenzentscheidungen nicht hinter generischen Helfern verstecken, die die Absicht schwerer prüfbar machen.

Query-Formen, ausgewählte Felder, Sortierung, Filter und transaktionale Zweige mit gezielten Tests verifizieren.

WebSocket-Gateways schlank halten und Domänenverhalten in Services oder Orchestratoren verschieben.

Sofortige API-Antworten von Seiteneffekten wie Benachrichtigungen, E-Mails, Analytics und Audit-Logs trennen.

Eventnamen, Payloads und Zustellregeln als Verträge entwerfen, nicht als beiläufige Implementierungsdetails.

Realtime-Verhalten beobachtbar genug machen, um Chat, Präsenz, Support und Admin-Workflows debuggen zu können.

Unit Tests für Service-Entscheidungen, Exception-Pfade, Guards, DTOs und Fallback-Zweige schreiben.

Integrations- und E2E-Tests für reale Modulzusammenarbeit, Datenbankverhalten und öffentliche HTTP-Flows nutzen.

Schemathesis gegen den OpenAPI-Vertrag, k6 für Performance-Signale und OWASP ZAP für exponierte Oberflächen ausführen.

Stryker Mutation Testing nutzen, um zu prüfen, ob Assertions Regressionen erkennen statt nur Code auszuführen.

Die Codebasis kann neue Produktregeln aufnehmen, ohne fremde Module neu zu schreiben.

Sicherheit, Validierung, Transaktionen und Zugriffsregeln bleiben stark, auch wenn Tests fehlschlagen.

Das Repository bietet klare Skripte für Typecheck, Lint, Build, Tests, Verträge, Smoke Checks und Mutation Testing.

Ein neuer Entwickler kann Modulgrenzen verstehen, die Qualitätskette ausführen und ein Feature ändern, ohne die Plattform zu brechen.