nene2-python 1.3.0__tar.gz → 1.5.0__tar.gz

{nene2_python-1.3.0 → nene2_python-1.5.0}/.github/workflows/ci.yml

@@ -31,6 +31,12 @@ jobs:
       - name: pytest (with coverage)
         run: uv run pytest
 
+      - name: coverage gate — domain/use_case layers (90%)
+        run: |
+          uv run coverage report \
+            --include="src/example/*/use_case.py,src/example/*/async_use_case.py,src/example/*/entity.py" \
+            --fail-under=90
+
       - name: mypy
         run: uv run mypy src/
 

{nene2_python-1.3.0 → nene2_python-1.5.0}/.github/workflows/publish.yml

@@ -89,8 +89,17 @@ jobs:
           name: dist
           path: dist/
 
+      - name: Extract release notes from CHANGELOG
+        id: changelog
+        run: |
+          VERSION="${GITHUB_REF_NAME#v}"
+          NOTES=$(awk "/^## \[$VERSION\]/{flag=1; next} /^## \[/{flag=0} flag" CHANGELOG.md | sed '/^[[:space:]]*$/d;/^---$/d' | sed '1{/^[[:space:]]*$/d}')
+          echo "notes<<EOF" >> "$GITHUB_OUTPUT"
+          echo "$NOTES" >> "$GITHUB_OUTPUT"
+          echo "EOF" >> "$GITHUB_OUTPUT"
+
       - name: Create GitHub Release
         uses: softprops/action-gh-release@v2
         with:
           files: dist/*
-          generate_release_notes: true
+          body: ${{ steps.changelog.outputs.notes }}

{nene2_python-1.3.0 → nene2_python-1.5.0}/CHANGELOG.md

@@ -5,6 +5,63 @@ Format follows [Keep a Changelog](https://keepachangelog.com/en/1.1.0/).
 
 ---
 
+## [1.5.0] — 2026-05-20
+
+FT12 (ThrottleMiddleware + RequestSizeLimitMiddleware) field trial — middleware exclude_paths consistency.
+
+### Added
+- `ThrottleMiddleware` — `exclude_paths` parameter to bypass rate limiting for `/health`, `/docs`, etc.
+- `RequestSizeLimitMiddleware` — same `exclude_paths` parameter for consistency with other middleware
+- Field trial report: `docs/field-trials/2026-05-field-trial-12.md`
+
+---
+
+## [1.4.0] — 2026-05-20
+
+FT11 (BearerTokenMiddleware + HttpxMcpClient) field trial — auth usability improvements.
+
+### Added
+- `BearerTokenMiddleware` — `exclude_paths` parameter to bypass auth for `/docs`, `/openapi.json`, `/health`, etc.
+- `ApiKeyAuthMiddleware` — same `exclude_paths` parameter
+- `LocalTokenVerifier.from_env(env_var, *, separator=",")` — create a verifier from a comma-delimited environment variable, with whitespace trimming and custom separator support
+- `docs/how-to/configure-auth.md` — three new sections: `from_env` usage, `exclude_paths` usage, MCP server fail-fast token check pattern
+- Field trial report: `docs/field-trials/2026-05-field-trial-11.md`
+
+---
+
+## [1.3.0] — 2026-05-20
+
+FT10 (MySQL adapter) field trial — pagination and serialization improvements.
+
+### Added
+- `PaginationQueryParser.__init__` — makes the class usable as a FastAPI `Depends()` parameter directly: `Annotated[PaginationQueryParser, Depends()]`
+- `PaginationResponse.to_dict()` — auto-serializes `dataclass(frozen=True, slots=True)` items via `dataclasses.asdict()` (previously raised `TypeError` for slotted dataclasses)
+- Field trial report: `docs/field-trials/2026-05-field-trial-10.md`
+- How-to guide: MySQL adapter setup (`docs/how-to/use-mysql.md`)
+
+---
+
+## [1.2.0] — 2026-05-19
+
+FT9 (MCP server standalone) field trial — MCP server and HTTP client improvements.
+
+### Added
+- `LocalMcpServer` — `port` and `host` constructor parameters (previously hardcoded)
+- `McpHttpError` — raised by `HttpxMcpClient.raise_for_error()` on 4xx/5xx responses, maps to MCP `isError: true`
+- Field trial report: `docs/field-trials/2026-05-field-trial-9.md`
+
+---
+
+## [1.1.0] — 2026-05-19
+
+FT8 (nested resources + datetime) field trial — database datetime handling.
+
+### Added
+- `nene2.database.utils.parse_db_datetime(value)` — normalises SQLite string timestamps and MySQL naive `datetime` objects to UTC-aware `datetime`; handles both adapters transparently
+- Field trial report: `docs/field-trials/2026-05-field-trial-8.md`
+
+---
+
 ## [1.0.0] — 2026-05-19
 
 First stable release. Feature parity with PHP NENE2 v1.4.0.

{nene2_python-1.3.0 → nene2_python-1.5.0}/PKG-INFO

@@ -1,6 +1,6 @@
 Metadata-Version: 2.4
 Name: nene2-python
-Version: 1.3.0
+Version: 1.5.0
 Summary: NENE2 Python — minimal API framework following NENE2's design philosophy
 Project-URL: Homepage, https://github.com/hideyukiMORI/nene2-python
 Project-URL: Repository, https://github.com/hideyukiMORI/nene2-python

nene2_python-1.5.0/docs/adr/0011-mcp-as-core-dependency.md

@@ -0,0 +1,63 @@
+# ADR-0011: MCP をコア依存として含める
+
+## ステータス
+
+承認済み (2026-05-20)
+
+## コンテキスト
+
+外部レビューで「`mcp>=1.0` をコア依存に含めると、MCP を使わない利用者まで FastMCP の依存ツリーを背負う」という指摘を受けた。`nene2[mcp]` optional extras に分離する案が提示された。
+
+## 決定
+
+`mcp>=1.0` はコア依存として `pyproject.toml` の `dependencies` に置く。optional extras には分離しない。
+
+### 理由
+
+**1. MCP はフレームワークの設計思想の中核**
+
+`CLAUDE.md` の設計哲学に「LLM delivery ready: API・MCP・認証・DB・引き継ぎドキュメントを整合させる」と明記している。MCP は認証・DB と同列のファーストクラス機能であり、"optional な付加機能" ではない。
+
+**2. UseCase アーキテクチャとの直結**
+
+`nene2.use_case` の `UseCaseProtocol[I, O]` は HTTP と MCP の両方から呼ばれることを前提に設計されている（ADR-0002）。UseCase を MCP ツールとして公開する経路が常に存在することがフレームワークの価値のひとつであり、その経路を extras 依存にすることはアーキテクチャの前提に反する。
+
+**3. extras 化のコスト**
+
+optional extras にすると `nene2.mcp` モジュール全体の import が条件分岐になる:
+
+```python
+try:
+    from fastmcp import FastMCP
+except ImportError:
+    raise ImportError("Install nene2[mcp] to use MCP features.")
+```
+
+フィールドトライアルのたびに MCP を使うため、このパターンを随所に書くことは単なる負債になる。
+
+**4. 現在の採用者像**
+
+nene2-python の想定ユーザーは「AI エージェント連携を見据えた API バックエンドを構築したい開発者」であり、MCP を使わない利用者は現時点で想定外のユースケースに属する。
+
+## 将来の見直し条件
+
+以下のいずれかが発生した場合、optional extras 化を検討する:
+
+- FastMCP の依存ツリーが著しく肥大化し、インストール時間・容量が問題視される
+- 「認証・DB・ページネーションだけ使いたい、MCP は不要」という実際の利用者フィードバックが複数件寄せられる
+- MCP SDK のライセンスや破壊的変更がコア依存として許容できなくなる
+
+その際は `nene2[mcp]` extras として分離し、`nene2.mcp` モジュールのインポートを条件分岐化する。
+
+## 代替案
+
+| 案 | 却下理由 |
+|---|---|
+| `nene2[mcp]` optional extras | 設計思想と不整合・extras 化のコストが現状では割に合わない |
+| MCP モジュールを別パッケージ (`nene2-mcp`) に分離 | フレームワークの一体感が失われる・インストール手順が増える |
+
+## 結果
+
+- `uv add nene2-python` 一発で MCP 機能を含む完全なスタックが手に入る
+- フィールドトライアルで MCP を毎回インストールする手間がない
+- 将来的に extras 分離が必要になった場合は ADR を更新してこの決定を覆す

nene2_python-1.5.0/docs/field-trials/2026-05-field-trial-11.md

@@ -0,0 +1,116 @@
+# Field Trial 11 — journal: BearerTokenMiddleware + HttpxMcpClient DX 検証
+
+## Date
+
+2026-05-20
+
+## Baseline
+
+- nene2-python v1.3.0（PyPI 経由）
+- Python 3.14（uv managed）
+- プロジェクト: **journal** — 日記管理 API
+- エンティティ: `Entry(id, title, body, created_at)`
+- HTTP API: ポート 8120（BearerTokenMiddleware 付き、InMemory）
+- MCP サーバー: ポート 8121（streamable-http）
+
+## Goal
+
+FT9 で `HttpxMcpClient` の基本（認証なし）は確認済み。
+今回は `BearerTokenMiddleware` で保護した HTTP API に対して MCP ツールが認証付きリクエストを送るパターンを検証する。
+
+---
+
+## Steps Taken
+
+### 1. BearerTokenMiddleware で HTTP API を保護
+
+```python
+tokens = [t.strip() for t in os.getenv("BEARER_TOKENS", "").split(",") if t.strip()]
+if tokens:
+    app.add_middleware(BearerTokenMiddleware, verifier=LocalTokenVerifier(tokens))
+```
+
+環境変数 `BEARER_TOKENS=secret-token-1,secret-token-2` でカンマ区切りの複数トークンを設定。
+
+### 2. MCP サーバーから認証付きで呼び出す
+
+```python
+token = os.getenv("MCP_BEARER_TOKEN", "")
+client = HttpxMcpClient(token if token else None)
+
+@server.tool("List all journal entries.")
+def list_entries(limit: int = 20, offset: int = 0) -> str:
+    response = client.get(API_BASE, f"/entries?limit={limit}&offset={offset}")
+    response.raise_for_error()
+    return response.body
+```
+
+`MCP_BEARER_TOKEN=secret-token-1` を MCP サーバーの環境変数に設定。
+`HttpxMcpClient(token)` が `Authorization: Bearer <token>` ヘッダーを自動付与。
+
+### 3. 動作確認
+
+```
+# MCP → 認証付き API → 成功
+create_entry("First Entry", "Hello from MCP!") → {"id":1,...}
+list_entries() → {"items":[{"id":1,...}],...}
+
+# 誤トークン → 401 → raise_for_error() → isError: true
+HTTP 401: {"type":"...unauthorized","detail":"The provided token is invalid or expired."}
+```
+
+---
+
+## Friction Points
+
+### FT11-1: `BearerTokenMiddleware` が `/docs`・`/openapi.json` まで保護する
+
+- **摩擦**: ミドルウェアがすべてのパスに適用されるため、
+  FastAPI の Swagger UI (`/docs`) や OpenAPI スキーマ (`/openapi.json`) にアクセスできなくなる
+  ```
+  GET /docs → 401 Unauthorized
+  GET /openapi.json → 401 Unauthorized
+  ```
+- ロードバランサーの `/health` チェックも同様にブロックされる
+- **現状の回避策**: 開発時は `BEARER_TOKENS=` を空にして認証を無効化
+- **深刻度**: HIGH（開発・運用の両方で問題になる。特にヘルスチェックのブロックは本番障害につながる）
+- **解決策**: `BearerTokenMiddleware(app, verifier=..., exclude_paths=["/docs", "/openapi.json", "/health"])` で除外パスを指定できるようにする
+
+### FT11-2: `MCP_BEARER_TOKEN` 未設定時に分かりにくい 401 エラー
+
+- **摩擦**: MCP サーバー起動時に `MCP_BEARER_TOKEN` が未設定の場合、
+  `HttpxMcpClient(None)` になって認証ヘッダーなしで API を呼ぶ
+- MCP ツール呼び出しが `HTTP 401` で失敗するが、エラーメッセージからトークン未設定が原因と気づきにくい
+  ```
+  McpHttpError: HTTP 401: {"detail":"A valid Bearer token is required."}
+  ```
+- **深刻度**: LOW（エラーメッセージを読めば原因はわかる）
+- **解決策**: `mcp_server.py` でトークン未設定時に起動時警告を出す（フレームワーク対応不要、パターン文書化）
+
+### FT11-3: `LocalTokenVerifier` がカンマ区切り文字列の分割を要求する
+
+- **摩擦**: 複数トークンを環境変数で渡す標準パターンがなく、アプリ側でカンマ分割処理を書く必要がある
+  ```python
+  tokens = [t.strip() for t in os.getenv("BEARER_TOKENS", "").split(",") if t.strip()]
+  ```
+- FT3 でも同様のコードを書いていた（重複パターン）
+- **深刻度**: LOW（数行のコードだが、毎回書く必要がある）
+- **解決策**: `LocalTokenVerifier.from_env("BEARER_TOKENS")` クラスメソッドを追加
+
+---
+
+## Summary
+
+| ID     | 摩擦                                                     | 深刻度 | 解決策                                          |
+|--------|----------------------------------------------------------|--------|-------------------------------------------------|
+| FT11-1 | `BearerTokenMiddleware` が `/docs`・`/health` もブロック | HIGH   | `exclude_paths` 引数を追加                      |
+| FT11-2 | `MCP_BEARER_TOKEN` 未設定時の 401 が原因不明に見える     | LOW    | 起動時警告パターンを文書化                      |
+| FT11-3 | `LocalTokenVerifier` の複数トークン設定にボイラープレート | LOW    | `LocalTokenVerifier.from_env()` クラスメソッド |
+
+**`HttpxMcpClient(bearer_token)` + `raise_for_error()` の組み合わせは期待通りに動作した。**
+認証エラー（401）は `McpHttpError` として raise され、MCP の `isError: true` に正しく変換される。
+
+FT12 候補:
+- **FT11-1 の修正**: `BearerTokenMiddleware` に `exclude_paths` を追加
+- **PostgreSQL アダプター**: `RETURNING` 句が使えるかを検証
+- **SSE トランスポート**: `streamable-http` との差異を確認

nene2_python-1.5.0/docs/field-trials/2026-05-field-trial-12.md

@@ -0,0 +1,58 @@
+# Field Trial 12 — ThrottleMiddleware + RequestSizeLimitMiddleware 実運用
+
+**Date:** 2026-05-20
+**App:** Chirp API（短文投稿 API、レート制限 + ペイロード制限付き）
+**Directory:** `/home/xi/docker/nene2-python-FT/ft12-throttle/`
+**nene2-python version:** v1.4.0
+
+## 概要
+
+`ThrottleMiddleware`（固定ウィンドウレート制限）と `RequestSizeLimitMiddleware`（リクエストボディ制限）を実際のアプリに組み込み、動作と摩擦点を確認した。
+
+## 動作確認結果
+
+- `ThrottleMiddleware(limit=3, window=60)` で3リクエスト後に 429 + `Retry-After` ヘッダーが返ること ✓
+- `RequestSizeLimitMiddleware(max_bytes=100)` でペイロード超過時に 413 が返ること ✓
+- 両ミドルウェアとも Problem Details (RFC 9457) 形式でエラーレスポンスが返ること ✓
+- `AppSettings` に `throttle_limit`, `throttle_window`, `max_body_size` が揃っていること ✓
+
+## 摩擦点
+
+### FT12-F1 (MEDIUM): ThrottleMiddleware に exclude_paths がない
+
+BearerTokenMiddleware・ApiKeyAuthMiddleware は FT11 で `exclude_paths` を追加したが、
+`ThrottleMiddleware` には同パラメータがない。
+
+```python
+# やりたいこと: /health はレート制限の対象外にしたい
+app.add_middleware(
+    ThrottleMiddleware,
+    limit=60,
+    window=60,
+    exclude_paths=["/health", "/docs"],  # ← 存在しない
+)
+```
+
+実際には `/health` も 60req/min のレート制限にかかる。ロードバランサーのヘルスチェックが
+高頻度で叩く環境では 429 が返り、インスタンスがダウン扱いになるリスクがある。
+
+**再現コード:**
+```python
+app.add_middleware(ThrottleMiddleware, limit=2, window=60)
+# /health を3回叩くと3回目が 429
+```
+
+### FT12-F2 (MEDIUM): RequestSizeLimitMiddleware に exclude_paths がない
+
+同様に `RequestSizeLimitMiddleware` にも `exclude_paths` がない。
+実用上の影響は ThrottleMiddleware より小さいが（GET リクエストはボディなしなので通常問題ない）、
+一貫性の観点から揃えるべき。
+
+BearerTokenMiddleware, ApiKeyAuthMiddleware, ThrottleMiddleware がすべて `exclude_paths` を
+持つのに RequestSizeLimitMiddleware だけ持たない状態は混乱を招く。
+
+## まとめ
+
+基本動作は問題なし。FT11 で auth 系ミドルウェアに `exclude_paths` を追加したが、
+同じ修正が `ThrottleMiddleware` と `RequestSizeLimitMiddleware` にも必要。
+3つのミドルウェアで `exclude_paths` の有無が揃っていないことが主な摩擦。

{nene2_python-1.3.0 → nene2_python-1.5.0}/docs/how-to/configure-auth.md

@@ -81,6 +81,55 @@ class JwtTokenVerifier:
 
 Pass your verifier directly to `BearerTokenMiddleware`.
 
+## Loading tokens from environment variables
+
+Use `LocalTokenVerifier.from_env()` to avoid writing the split-and-strip boilerplate every time:
+
+```dotenv
+# .env
+BEARER_TOKENS=token-a,token-b,token-c
+```
+
+```python
+from nene2.auth import BearerTokenMiddleware, LocalTokenVerifier
+
+app.add_middleware(
+    BearerTokenMiddleware,
+    verifier=LocalTokenVerifier.from_env("BEARER_TOKENS"),
+)
+```
+
+An unset or empty variable produces an empty allowlist — all requests are denied.
+
+## Excluding paths from authentication
+
+Use `exclude_paths` to bypass auth for health checks and API docs:
+
+```python
+app.add_middleware(
+    BearerTokenMiddleware,
+    verifier=LocalTokenVerifier.from_env("BEARER_TOKENS"),
+    exclude_paths=["/docs", "/openapi.json", "/redoc", "/health"],
+)
+```
+
+`ApiKeyAuthMiddleware` supports the same parameter.
+
+## MCP server — fail fast on missing token
+
+When an MCP server calls a Bearer-protected API via `HttpxMcpClient`, validate the token
+at startup rather than discovering a missing token at call time:
+
+```python
+import os
+from nene2.mcp.http_client import HttpxMcpClient
+
+token = os.getenv("MCP_BEARER_TOKEN")
+if not token:
+    raise RuntimeError("MCP_BEARER_TOKEN is not set — cannot call the authenticated API.")
+client = HttpxMcpClient(token)
+```
+
 ## Custom TokenIssuer (e.g. JWT)
 
 Implement `TokenIssuerProtocol` to issue tokens (e.g. for a login endpoint).

{nene2_python-1.3.0 → nene2_python-1.5.0}/pyproject.toml

@@ -1,6 +1,6 @@
 [project]
 name = "nene2-python"
-version = "1.3.0"
+version = "1.5.0"
 description = "NENE2 Python — minimal API framework following NENE2's design philosophy"
 readme = "README.md"
 license = {text = "MIT"}

{nene2_python-1.3.0 → nene2_python-1.5.0}/src/nene2/auth/api_key.py

@@ -17,13 +17,32 @@ _API_KEY_HEADER = "X-Api-Key"
 
 
 class ApiKeyAuthMiddleware(BaseHTTPMiddleware):
-    """Require a valid X-Api-Key header on every request."""
-
-    def __init__(self, app: object, *, verifier: TokenVerifierProtocol) -> None:
+    """Require a valid X-Api-Key header on every request.
+
+    Use ``exclude_paths`` to skip authentication for specific paths such as
+    health-check endpoints or API documentation::
+
+        app.add_middleware(
+            ApiKeyAuthMiddleware,
+            verifier=LocalTokenVerifier(api_keys),
+            exclude_paths=["/docs", "/openapi.json", "/redoc", "/health"],
+        )
+    """
+
+    def __init__(
+        self,
+        app: object,
+        *,
+        verifier: TokenVerifierProtocol,
+        exclude_paths: list[str] | None = None,
+    ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._verifier = verifier
+        self._exclude_paths = set(exclude_paths or [])
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
         api_key = request.headers.get(_API_KEY_HEADER, "")
         try:
             verified = bool(api_key) and self._verifier.verify(api_key)

{nene2_python-1.3.0 → nene2_python-1.5.0}/src/nene2/auth/bearer_token.py

@@ -17,13 +17,32 @@ _WWW_AUTH = 'Bearer realm="api"'
 
 
 class BearerTokenMiddleware(BaseHTTPMiddleware):
-    """Require a valid Bearer token on every request."""
+    """Require a valid Bearer token on every request.
 
-    def __init__(self, app: object, *, verifier: TokenVerifierProtocol) -> None:
+    Use ``exclude_paths`` to skip authentication for specific paths such as
+    health-check endpoints or API documentation::
+
+        app.add_middleware(
+            BearerTokenMiddleware,
+            verifier=LocalTokenVerifier(tokens),
+            exclude_paths=["/docs", "/openapi.json", "/redoc", "/health"],
+        )
+    """
+
+    def __init__(
+        self,
+        app: object,
+        *,
+        verifier: TokenVerifierProtocol,
+        exclude_paths: list[str] | None = None,
+    ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._verifier = verifier
+        self._exclude_paths = set(exclude_paths or [])
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
         auth = request.headers.get("Authorization", "")
         if not auth.startswith("Bearer "):
             response = problem_details_response(

nene2_python-1.5.0/src/nene2/auth/local_verifier.py

@@ -0,0 +1,36 @@
+"""Local token verifier — compares against a fixed set of allowed tokens.
+
+For development and testing only. In production, implement TokenVerifierProtocol
+against your actual auth backend (database, external IdP, JWT, etc.).
+"""
+
+import os
+import secrets
+
+
+class LocalTokenVerifier:
+    """Verify tokens against a fixed allowlist using constant-time comparison."""
+
+    def __init__(self, allowed_tokens: list[str]) -> None:
+        self._allowed = allowed_tokens
+
+    @classmethod
+    def from_env(cls, env_var: str, *, separator: str = ",") -> "LocalTokenVerifier":
+        """Create a verifier from a separator-delimited environment variable.
+
+        Example .env::
+
+            BEARER_TOKENS = token - a, token - b, token - c
+
+        Usage::
+
+            verifier = LocalTokenVerifier.from_env("BEARER_TOKENS")
+
+        An unset or empty variable results in an empty allowlist (all requests denied).
+        """
+        raw = os.getenv(env_var, "")
+        tokens = [t.strip() for t in raw.split(separator) if t.strip()]
+        return cls(tokens)
+
+    def verify(self, token: str) -> bool:
+        return any(secrets.compare_digest(token, allowed) for allowed in self._allowed)

{nene2_python-1.3.0 → nene2_python-1.5.0}/src/nene2/middleware/request_size_limit.py

@@ -22,13 +22,31 @@ class RequestSizeLimitMiddleware(BaseHTTPMiddleware):
     Checks the Content-Length header first for a fast pre-flight reject,
     then reads the actual body to catch chunked-transfer requests that
     omit Content-Length entirely.
+
+    Use ``exclude_paths`` to bypass the size limit for specific endpoints::
+
+        app.add_middleware(
+            RequestSizeLimitMiddleware,
+            max_bytes=1_048_576,
+            exclude_paths=["/upload/multipart"],
+        )
     """
 
-    def __init__(self, app: object, *, max_bytes: int = _DEFAULT_MAX_BYTES) -> None:
+    def __init__(
+        self,
+        app: object,
+        *,
+        max_bytes: int = _DEFAULT_MAX_BYTES,
+        exclude_paths: list[str] | None = None,
+    ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._max_bytes = max_bytes
+        self._exclude_paths = set(exclude_paths or [])
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
+
         content_length = request.headers.get("Content-Length")
         if content_length is not None:
             try:

{nene2_python-1.3.0 → nene2_python-1.5.0}/src/nene2/middleware/throttle.py

@@ -25,7 +25,17 @@ _DEFAULT_WINDOW = 60  # seconds
 
 
 class ThrottleMiddleware(BaseHTTPMiddleware):
-    """Fixed-window rate limiter keyed by client IP."""
+    """Fixed-window rate limiter keyed by client IP.
+
+    Use ``exclude_paths`` to bypass rate limiting for health checks and API docs::
+
+        app.add_middleware(
+            ThrottleMiddleware,
+            limit=60,
+            window=60,
+            exclude_paths=["/health", "/docs", "/openapi.json"],
+        )
+    """
 
     def __init__(
         self,
@@ -33,10 +43,12 @@ class ThrottleMiddleware(BaseHTTPMiddleware):
         *,
         limit: int = _DEFAULT_LIMIT,
         window: int = _DEFAULT_WINDOW,
+        exclude_paths: list[str] | None = None,
     ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._limit = limit
         self._window = window
+        self._exclude_paths = set(exclude_paths or [])
         self._counts: dict[str, tuple[int, float]] = {}
         self._lock = threading.Lock()
 
@@ -58,6 +70,8 @@ class ThrottleMiddleware(BaseHTTPMiddleware):
         return count <= self._limit, remaining
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
         key = self._client_key(request)
         allowed, retry_after = self._is_allowed(key)
         if not allowed:

{nene2_python-1.3.0 → nene2_python-1.5.0}/tests/nene2/auth/test_api_key.py

@@ -46,6 +46,27 @@ def test_multiple_allowed_keys() -> None:
     assert client.get("/secret", headers={"X-Api-Key": "key-c"}).status_code == 401
 
 
+def test_exclude_paths_bypasses_auth() -> None:
+    app = FastAPI()
+    app.add_middleware(
+        ApiKeyAuthMiddleware,
+        verifier=LocalTokenVerifier(["key"]),
+        exclude_paths=["/health"],
+    )
+
+    @app.get("/health")
+    async def health() -> JSONResponse:
+        return JSONResponse({"status": "ok"})
+
+    @app.get("/secret")
+    async def secret() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    client = TestClient(app)
+    assert client.get("/health").status_code == 200
+    assert client.get("/secret").status_code == 401
+
+
 def test_verifier_raises_token_verification_exception_returns_401() -> None:
     """TokenVerificationException from verifier must return 401, not 500."""