@hed-hog/core 0.0.87 → 0.0.89

package/src/task/task.service.ts

@@ -6,17 +6,53 @@ import { Cron, CronExpression } from '@nestjs/schedule';
 export class TasksService {
   private readonly logger = new Logger(TasksService.name);
 
-  constructor(private readonly prismaService: PrismaService) {
-    this.clear();
-  }
+  constructor(private readonly prismaService: PrismaService) {}
 
+  /**
+   * Executa todas as tarefas de limpeza do banco de dados diariamente à meia-noite.
+   *
+   * As tarefas são executadas sequencialmente para evitar contenção excessiva no banco.
+   * Cada tarefa possui logging detalhado para monitoramento e troubleshooting.
+   */
   @Cron(CronExpression.EVERY_DAY_AT_MIDNIGHT)
   async clear() {
     this.logger.verbose('++++++++++++++++++++++++++++++++++');
     this.logger.verbose('Running scheduled cleanup tasks');
     this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    await this.clearExpiredMfaChallenges();
+    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    await this.clearExpiredSessions();
+    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    await this.clearExpiredUserIdentifierChallenges();
+    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    await this.clearUnverifiedMfaWithExpiredChallenges();
+    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    this.logger.verbose('Finished scheduled cleanup tasks');
+    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+  }
+
+  /**
+   * Limpa challenges de autenticação multifator (MFA) que já expiraram ou foram verificados.
+   *
+   * Remove registros da tabela user_mfa_challenge que:
+   * - Expiraram (expires_at < now())
+   * - Já foram verificados (verified_at IS NOT NULL)
+   *
+   * Por quê: Challenges expirados ou já utilizados não têm mais utilidade e ocupam
+   * espaço desnecessário no banco de dados. A remoção periódica mantém a performance
+   * das consultas e reduz o tamanho do banco.
+   *
+   * Limite: 20.000 registros por execução para evitar lock prolongado da tabela.
+   */
+  private async clearExpiredMfaChallenges(): Promise<void> {
     this.logger.verbose('Starting cleanup of expired/verified MFA challenges');
-    let startAt = Date.now();
+    const startAt = Date.now();
+
     await this.prismaService.$queryRaw`
       WITH del AS (
         SELECT user_mfa_id
@@ -30,27 +66,71 @@ export class TasksService {
       USING del
       WHERE c.user_mfa_id = del.user_mfa_id;
     `;
-    this.logger.verbose(`Expired/verified MFA challenges cleaned up in ${Date.now() - startAt}ms`);
-    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    this.logger.verbose(
+      `Expired/verified MFA challenges cleaned up in ${Date.now() - startAt}ms`,
+    );
+  }
+
+  /**
+   * Limpa sessões de usuário expiradas e antigas.
+   *
+   * Remove registros da tabela user_session que:
+   * - Expiraram (expires_at < now())
+   * - Foram criadas há mais de 90 dias (created_at < now() - 90 days)
+   *
+   * Por quê: Sessões expiradas não podem mais ser utilizadas para autenticação.
+   * O critério adicional de 90 dias garante retenção de dados para auditoria/análise
+   * antes da exclusão definitiva. Isso permite investigar padrões de uso e
+   * possíveis problemas de segurança dentro de uma janela razoável.
+   *
+   * Limite: 20.000 registros por execução para evitar lock prolongado da tabela.
+   */
+  private async clearExpiredSessions(): Promise<void> {
     this.logger.verbose('Starting cleanup of expired sessions');
-    startAt = Date.now();
+    const startAt = Date.now();
+
     await this.prismaService.$queryRaw`
       WITH del AS (
-      SELECT id
-      FROM user_session
-      WHERE expires_at < now()
-        AND created_at < (now() - interval '90 days')
-      ORDER BY id
-      LIMIT 20000
+        SELECT id
+        FROM user_session
+        WHERE expires_at < now()
+          AND created_at < (now() - interval '90 days')
+        ORDER BY id
+        LIMIT 20000
       )
       DELETE FROM user_session s
       USING del
       WHERE s.id = del.id;
     `;
-    this.logger.verbose(`Expired sessions cleaned up in ${Date.now() - startAt}ms`);
-    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+
+    this.logger.verbose(
+      `Expired sessions cleaned up in ${Date.now() - startAt}ms`,
+    );
+  }
+
+  /**
+   * Limpa challenges de verificação de identificadores de usuário (email, telefone, etc.)
+   * que expiraram e não foram verificados, removendo também os identificadores órfãos.
+   *
+   * Remove em cascata:
+   * 1. user_identifier_challenge: challenges expirados não verificados
+   * 2. user_identifier: identificadores que nunca foram verificados e perderam seus challenges
+   *
+   * Por quê: Quando um usuário tenta adicionar um novo email/telefone, é gerado um challenge
+   * para verificação. Se o usuário não verifica dentro do prazo, tanto o challenge quanto
+   * o identificador não verificado devem ser removidos para evitar:
+   * - Acúmulo de dados órfãos (identificadores que nunca serão usados)
+   * - Bloqueio indevido de emails/telefones (um email não verificado não deve impedir
+   *   outro usuário de cadastrá-lo)
+   * - Confusão na interface (mostrar identificadores pendentes indefinidamente)
+   *
+   * Limite: 20.000 registros por execução para evitar lock prolongado das tabelas.
+   */
+  private async clearExpiredUserIdentifierChallenges(): Promise<void> {
     this.logger.verbose('Starting cleanup of expired user identifier challenges');
-    startAt = Date.now();
+    const startAt = Date.now();
+
     await this.prismaService.$queryRaw`
       WITH expired_challenges AS (
         SELECT user_identifier_id
@@ -62,7 +142,8 @@ export class TasksService {
       deleted_challenges AS (
         DELETE FROM user_identifier_challenge c
         USING expired_challenges
-        WHERE c.user_identifier_id = expired_challenges.user_identifier_id AND c.verified_at IS NULL
+        WHERE c.user_identifier_id = expired_challenges.user_identifier_id 
+          AND c.verified_at IS NULL
         RETURNING c.user_identifier_id
       )
       DELETE FROM user_identifier ui
@@ -70,10 +151,67 @@ export class TasksService {
       WHERE ui.id = deleted_challenges.user_identifier_id
         AND ui.verified_at IS NULL;
     `;
-    this.logger.verbose(`Expired user identifier challenges and unverified identifiers cleaned up in ${Date.now() - startAt}ms`);
-    this.logger.verbose('++++++++++++++++++++++++++++++++++');
 
-    this.logger.verbose('Finished scheduled cleanup tasks');
-    this.logger.verbose('++++++++++++++++++++++++++++++++++');
+    this.logger.verbose(
+      `Expired user identifier challenges and unverified identifiers cleaned up in ${Date.now() - startAt}ms`,
+    );
+  }
+
+  /**
+   * Limpa configurações de autenticação multifator (MFA) não verificadas cujos
+   * challenges de verificação expiraram, removendo também os challenges associados.
+   *
+   * Remove em cascata:
+   * 1. user_mfa_challenge: todos os challenges associados ao MFA não verificado
+   * 2. user_mfa: configuração de MFA que nunca foi verificada e não possui challenges válidos
+   *
+   * Por quê: Quando um usuário configura MFA (TOTP, SMS, etc.), é gerado um challenge
+   * para verificar que o método funciona. Se o usuário:
+   * - Abandonou o processo de configuração (não verificou)
+   * - Todos os challenges expiraram (não há tentativas válidas pendentes)
+   *
+   * Então a configuração incompleta deve ser removida porque:
+   * - Não pode ser utilizada para autenticação (nunca foi verificada)
+   * - Ocupa espaço desnecessário no banco
+   * - Pode causar confusão na interface (métodos MFA "pendentes" indefinidamente)
+   * - Permite ao usuário reconfigurar o método sem conflitos
+   *
+   * Limite: 20.000 registros por execução para evitar lock prolongado das tabelas.
+   */
+  private async clearUnverifiedMfaWithExpiredChallenges(): Promise<void> {
+    this.logger.verbose(
+      'Starting cleanup of unverified MFA with expired challenges',
+    );
+    const startAt = Date.now();
+
+    await this.prismaService.$queryRaw`
+      WITH unverified_mfa AS (
+        SELECT um.id
+        FROM user_mfa um
+        WHERE um.verified_at IS NULL
+          AND NOT EXISTS (
+            SELECT 1
+            FROM user_mfa_challenge umc
+            WHERE umc.user_mfa_id = um.id
+              AND umc.expires_at >= now()
+          )
+        LIMIT 20000
+      ),
+      deleted_challenges AS (
+        DELETE FROM user_mfa_challenge umc
+        USING unverified_mfa
+        WHERE umc.user_mfa_id = unverified_mfa.id
+        RETURNING umc.user_mfa_id
+      )
+      DELETE FROM user_mfa um
+      USING unverified_mfa
+      WHERE um.id = unverified_mfa.id;
+    `;
+
+    this.logger.verbose(
+      `Unverified MFA with expired challenges cleaned up in ${Date.now() - startAt}ms`,
+    );
   }
+
+  
 }