nene2-python 1.4.0__tar.gz → 1.5.0__tar.gz

{nene2_python-1.4.0 → nene2_python-1.5.0}/.github/workflows/ci.yml

@@ -31,6 +31,12 @@ jobs:
       - name: pytest (with coverage)
         run: uv run pytest
 
+      - name: coverage gate — domain/use_case layers (90%)
+        run: |
+          uv run coverage report \
+            --include="src/example/*/use_case.py,src/example/*/async_use_case.py,src/example/*/entity.py" \
+            --fail-under=90
+
       - name: mypy
         run: uv run mypy src/
 

{nene2_python-1.4.0 → nene2_python-1.5.0}/.github/workflows/publish.yml

@@ -89,8 +89,17 @@ jobs:
           name: dist
           path: dist/
 
+      - name: Extract release notes from CHANGELOG
+        id: changelog
+        run: |
+          VERSION="${GITHUB_REF_NAME#v}"
+          NOTES=$(awk "/^## \[$VERSION\]/{flag=1; next} /^## \[/{flag=0} flag" CHANGELOG.md | sed '/^[[:space:]]*$/d;/^---$/d' | sed '1{/^[[:space:]]*$/d}')
+          echo "notes<<EOF" >> "$GITHUB_OUTPUT"
+          echo "$NOTES" >> "$GITHUB_OUTPUT"
+          echo "EOF" >> "$GITHUB_OUTPUT"
+
       - name: Create GitHub Release
         uses: softprops/action-gh-release@v2
         with:
           files: dist/*
-          generate_release_notes: true
+          body: ${{ steps.changelog.outputs.notes }}

{nene2_python-1.4.0 → nene2_python-1.5.0}/CHANGELOG.md

@@ -5,6 +5,63 @@ Format follows [Keep a Changelog](https://keepachangelog.com/en/1.1.0/).
 
 ---
 
+## [1.5.0] — 2026-05-20
+
+FT12 (ThrottleMiddleware + RequestSizeLimitMiddleware) field trial — middleware exclude_paths consistency.
+
+### Added
+- `ThrottleMiddleware` — `exclude_paths` parameter to bypass rate limiting for `/health`, `/docs`, etc.
+- `RequestSizeLimitMiddleware` — same `exclude_paths` parameter for consistency with other middleware
+- Field trial report: `docs/field-trials/2026-05-field-trial-12.md`
+
+---
+
+## [1.4.0] — 2026-05-20
+
+FT11 (BearerTokenMiddleware + HttpxMcpClient) field trial — auth usability improvements.
+
+### Added
+- `BearerTokenMiddleware` — `exclude_paths` parameter to bypass auth for `/docs`, `/openapi.json`, `/health`, etc.
+- `ApiKeyAuthMiddleware` — same `exclude_paths` parameter
+- `LocalTokenVerifier.from_env(env_var, *, separator=",")` — create a verifier from a comma-delimited environment variable, with whitespace trimming and custom separator support
+- `docs/how-to/configure-auth.md` — three new sections: `from_env` usage, `exclude_paths` usage, MCP server fail-fast token check pattern
+- Field trial report: `docs/field-trials/2026-05-field-trial-11.md`
+
+---
+
+## [1.3.0] — 2026-05-20
+
+FT10 (MySQL adapter) field trial — pagination and serialization improvements.
+
+### Added
+- `PaginationQueryParser.__init__` — makes the class usable as a FastAPI `Depends()` parameter directly: `Annotated[PaginationQueryParser, Depends()]`
+- `PaginationResponse.to_dict()` — auto-serializes `dataclass(frozen=True, slots=True)` items via `dataclasses.asdict()` (previously raised `TypeError` for slotted dataclasses)
+- Field trial report: `docs/field-trials/2026-05-field-trial-10.md`
+- How-to guide: MySQL adapter setup (`docs/how-to/use-mysql.md`)
+
+---
+
+## [1.2.0] — 2026-05-19
+
+FT9 (MCP server standalone) field trial — MCP server and HTTP client improvements.
+
+### Added
+- `LocalMcpServer` — `port` and `host` constructor parameters (previously hardcoded)
+- `McpHttpError` — raised by `HttpxMcpClient.raise_for_error()` on 4xx/5xx responses, maps to MCP `isError: true`
+- Field trial report: `docs/field-trials/2026-05-field-trial-9.md`
+
+---
+
+## [1.1.0] — 2026-05-19
+
+FT8 (nested resources + datetime) field trial — database datetime handling.
+
+### Added
+- `nene2.database.utils.parse_db_datetime(value)` — normalises SQLite string timestamps and MySQL naive `datetime` objects to UTC-aware `datetime`; handles both adapters transparently
+- Field trial report: `docs/field-trials/2026-05-field-trial-8.md`
+
+---
+
 ## [1.0.0] — 2026-05-19
 
 First stable release. Feature parity with PHP NENE2 v1.4.0.

{nene2_python-1.4.0 → nene2_python-1.5.0}/PKG-INFO

@@ -1,6 +1,6 @@
 Metadata-Version: 2.4
 Name: nene2-python
-Version: 1.4.0
+Version: 1.5.0
 Summary: NENE2 Python — minimal API framework following NENE2's design philosophy
 Project-URL: Homepage, https://github.com/hideyukiMORI/nene2-python
 Project-URL: Repository, https://github.com/hideyukiMORI/nene2-python

nene2_python-1.5.0/docs/adr/0011-mcp-as-core-dependency.md

@@ -0,0 +1,63 @@
+# ADR-0011: MCP をコア依存として含める
+
+## ステータス
+
+承認済み (2026-05-20)
+
+## コンテキスト
+
+外部レビューで「`mcp>=1.0` をコア依存に含めると、MCP を使わない利用者まで FastMCP の依存ツリーを背負う」という指摘を受けた。`nene2[mcp]` optional extras に分離する案が提示された。
+
+## 決定
+
+`mcp>=1.0` はコア依存として `pyproject.toml` の `dependencies` に置く。optional extras には分離しない。
+
+### 理由
+
+**1. MCP はフレームワークの設計思想の中核**
+
+`CLAUDE.md` の設計哲学に「LLM delivery ready: API・MCP・認証・DB・引き継ぎドキュメントを整合させる」と明記している。MCP は認証・DB と同列のファーストクラス機能であり、"optional な付加機能" ではない。
+
+**2. UseCase アーキテクチャとの直結**
+
+`nene2.use_case` の `UseCaseProtocol[I, O]` は HTTP と MCP の両方から呼ばれることを前提に設計されている（ADR-0002）。UseCase を MCP ツールとして公開する経路が常に存在することがフレームワークの価値のひとつであり、その経路を extras 依存にすることはアーキテクチャの前提に反する。
+
+**3. extras 化のコスト**
+
+optional extras にすると `nene2.mcp` モジュール全体の import が条件分岐になる:
+
+```python
+try:
+    from fastmcp import FastMCP
+except ImportError:
+    raise ImportError("Install nene2[mcp] to use MCP features.")
+```
+
+フィールドトライアルのたびに MCP を使うため、このパターンを随所に書くことは単なる負債になる。
+
+**4. 現在の採用者像**
+
+nene2-python の想定ユーザーは「AI エージェント連携を見据えた API バックエンドを構築したい開発者」であり、MCP を使わない利用者は現時点で想定外のユースケースに属する。
+
+## 将来の見直し条件
+
+以下のいずれかが発生した場合、optional extras 化を検討する:
+
+- FastMCP の依存ツリーが著しく肥大化し、インストール時間・容量が問題視される
+- 「認証・DB・ページネーションだけ使いたい、MCP は不要」という実際の利用者フィードバックが複数件寄せられる
+- MCP SDK のライセンスや破壊的変更がコア依存として許容できなくなる
+
+その際は `nene2[mcp]` extras として分離し、`nene2.mcp` モジュールのインポートを条件分岐化する。
+
+## 代替案
+
+| 案 | 却下理由 |
+|---|---|
+| `nene2[mcp]` optional extras | 設計思想と不整合・extras 化のコストが現状では割に合わない |
+| MCP モジュールを別パッケージ (`nene2-mcp`) に分離 | フレームワークの一体感が失われる・インストール手順が増える |
+
+## 結果
+
+- `uv add nene2-python` 一発で MCP 機能を含む完全なスタックが手に入る
+- フィールドトライアルで MCP を毎回インストールする手間がない
+- 将来的に extras 分離が必要になった場合は ADR を更新してこの決定を覆す

nene2_python-1.5.0/docs/field-trials/2026-05-field-trial-12.md

@@ -0,0 +1,58 @@
+# Field Trial 12 — ThrottleMiddleware + RequestSizeLimitMiddleware 実運用
+
+**Date:** 2026-05-20
+**App:** Chirp API（短文投稿 API、レート制限 + ペイロード制限付き）
+**Directory:** `/home/xi/docker/nene2-python-FT/ft12-throttle/`
+**nene2-python version:** v1.4.0
+
+## 概要
+
+`ThrottleMiddleware`（固定ウィンドウレート制限）と `RequestSizeLimitMiddleware`（リクエストボディ制限）を実際のアプリに組み込み、動作と摩擦点を確認した。
+
+## 動作確認結果
+
+- `ThrottleMiddleware(limit=3, window=60)` で3リクエスト後に 429 + `Retry-After` ヘッダーが返ること ✓
+- `RequestSizeLimitMiddleware(max_bytes=100)` でペイロード超過時に 413 が返ること ✓
+- 両ミドルウェアとも Problem Details (RFC 9457) 形式でエラーレスポンスが返ること ✓
+- `AppSettings` に `throttle_limit`, `throttle_window`, `max_body_size` が揃っていること ✓
+
+## 摩擦点
+
+### FT12-F1 (MEDIUM): ThrottleMiddleware に exclude_paths がない
+
+BearerTokenMiddleware・ApiKeyAuthMiddleware は FT11 で `exclude_paths` を追加したが、
+`ThrottleMiddleware` には同パラメータがない。
+
+```python
+# やりたいこと: /health はレート制限の対象外にしたい
+app.add_middleware(
+    ThrottleMiddleware,
+    limit=60,
+    window=60,
+    exclude_paths=["/health", "/docs"],  # ← 存在しない
+)
+```
+
+実際には `/health` も 60req/min のレート制限にかかる。ロードバランサーのヘルスチェックが
+高頻度で叩く環境では 429 が返り、インスタンスがダウン扱いになるリスクがある。
+
+**再現コード:**
+```python
+app.add_middleware(ThrottleMiddleware, limit=2, window=60)
+# /health を3回叩くと3回目が 429
+```
+
+### FT12-F2 (MEDIUM): RequestSizeLimitMiddleware に exclude_paths がない
+
+同様に `RequestSizeLimitMiddleware` にも `exclude_paths` がない。
+実用上の影響は ThrottleMiddleware より小さいが（GET リクエストはボディなしなので通常問題ない）、
+一貫性の観点から揃えるべき。
+
+BearerTokenMiddleware, ApiKeyAuthMiddleware, ThrottleMiddleware がすべて `exclude_paths` を
+持つのに RequestSizeLimitMiddleware だけ持たない状態は混乱を招く。
+
+## まとめ
+
+基本動作は問題なし。FT11 で auth 系ミドルウェアに `exclude_paths` を追加したが、
+同じ修正が `ThrottleMiddleware` と `RequestSizeLimitMiddleware` にも必要。
+3つのミドルウェアで `exclude_paths` の有無が揃っていないことが主な摩擦。

{nene2_python-1.4.0 → nene2_python-1.5.0}/pyproject.toml

@@ -1,6 +1,6 @@
 [project]
 name = "nene2-python"
-version = "1.4.0"
+version = "1.5.0"
 description = "NENE2 Python — minimal API framework following NENE2's design philosophy"
 readme = "README.md"
 license = {text = "MIT"}

{nene2_python-1.4.0 → nene2_python-1.5.0}/src/nene2/middleware/request_size_limit.py

@@ -22,13 +22,31 @@ class RequestSizeLimitMiddleware(BaseHTTPMiddleware):
     Checks the Content-Length header first for a fast pre-flight reject,
     then reads the actual body to catch chunked-transfer requests that
     omit Content-Length entirely.
+
+    Use ``exclude_paths`` to bypass the size limit for specific endpoints::
+
+        app.add_middleware(
+            RequestSizeLimitMiddleware,
+            max_bytes=1_048_576,
+            exclude_paths=["/upload/multipart"],
+        )
     """
 
-    def __init__(self, app: object, *, max_bytes: int = _DEFAULT_MAX_BYTES) -> None:
+    def __init__(
+        self,
+        app: object,
+        *,
+        max_bytes: int = _DEFAULT_MAX_BYTES,
+        exclude_paths: list[str] | None = None,
+    ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._max_bytes = max_bytes
+        self._exclude_paths = set(exclude_paths or [])
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
+
         content_length = request.headers.get("Content-Length")
         if content_length is not None:
             try:

{nene2_python-1.4.0 → nene2_python-1.5.0}/src/nene2/middleware/throttle.py

@@ -25,7 +25,17 @@ _DEFAULT_WINDOW = 60  # seconds
 
 
 class ThrottleMiddleware(BaseHTTPMiddleware):
-    """Fixed-window rate limiter keyed by client IP."""
+    """Fixed-window rate limiter keyed by client IP.
+
+    Use ``exclude_paths`` to bypass rate limiting for health checks and API docs::
+
+        app.add_middleware(
+            ThrottleMiddleware,
+            limit=60,
+            window=60,
+            exclude_paths=["/health", "/docs", "/openapi.json"],
+        )
+    """
 
     def __init__(
         self,
@@ -33,10 +43,12 @@ class ThrottleMiddleware(BaseHTTPMiddleware):
         *,
         limit: int = _DEFAULT_LIMIT,
         window: int = _DEFAULT_WINDOW,
+        exclude_paths: list[str] | None = None,
     ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._limit = limit
         self._window = window
+        self._exclude_paths = set(exclude_paths or [])
         self._counts: dict[str, tuple[int, float]] = {}
         self._lock = threading.Lock()
 
@@ -58,6 +70,8 @@ class ThrottleMiddleware(BaseHTTPMiddleware):
         return count <= self._limit, remaining
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
+        if request.url.path in self._exclude_paths:
+            return await call_next(request)
         key = self._client_key(request)
         allowed, retry_after = self._is_allowed(key)
         if not allowed:

{nene2_python-1.4.0 → nene2_python-1.5.0}/tests/nene2/middleware/test_request_size_limit.py

@@ -66,3 +66,24 @@ def test_malformed_content_length_is_tolerated() -> None:
         headers={"Content-Length": "abc", "Content-Type": "application/octet-stream"},
     )
     assert response.status_code == 200
+
+
+def test_exclude_paths_bypasses_size_limit() -> None:
+    app = FastAPI()
+    app.add_middleware(
+        RequestSizeLimitMiddleware,
+        max_bytes=10,
+        exclude_paths=["/upload/large"],
+    )
+
+    @app.post("/upload")
+    async def upload() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    @app.post("/upload/large")
+    async def upload_large() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    client = TestClient(app)
+    assert client.post("/upload", content=b"x" * 100).status_code == 413
+    assert client.post("/upload/large", content=b"x" * 100).status_code == 200

{nene2_python-1.4.0 → nene2_python-1.5.0}/tests/nene2/middleware/test_throttle.py

@@ -43,3 +43,35 @@ def test_forwarded_for_header_used_as_key() -> None:
 
     response2 = client.get("/ping", headers={"X-Forwarded-For": "10.0.0.2"})
     assert response2.status_code == 200
+
+
+def test_exclude_paths_bypasses_throttle() -> None:
+    app = FastAPI()
+    app.add_middleware(
+        ThrottleMiddleware,
+        limit=2,
+        window=60,
+        exclude_paths=["/health"],
+    )
+
+    @app.get("/health")
+    async def health() -> JSONResponse:
+        return JSONResponse({"status": "ok"})
+
+    @app.get("/ping")
+    async def ping() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    client = TestClient(app)
+    for _ in range(5):
+        assert client.get("/health").status_code == 200
+
+    client.get("/ping")
+    client.get("/ping")
+    assert client.get("/ping").status_code == 429
+
+
+def test_exclude_paths_default_is_empty() -> None:
+    client = TestClient(_make_app(limit=1))
+    client.get("/ping")
+    assert client.get("/ping").status_code == 429

{nene2_python-1.4.0 → nene2_python-1.5.0}/uv.lock

@@ -925,7 +925,7 @@ wheels = [
 
 [[package]]
 name = "nene2-python"
-version = "1.4.0"
+version = "1.5.0"
 source = { editable = "." }
 dependencies = [
     { name = "alembic" },