Merge pull request 'fix/login-lockout-test-mock' (#1 ) from fix/login-lockout-test-mock into main

Reviewed-on: #1
2026-03-04 15:18:35 +00:00
21 changed files with 62 additions and 2244 deletions
--- a/.cursor/plans/документация_vs_реализация_0932d1a0.plan.md
+++ b/.cursor/plans/документация_vs_реализация_0932d1a0.plan.md
@@ -1,366 +0,0 @@
 ---
 name: Документация vs Реализация
 overview: "Подробный отчёт о соответствии бэкенда документации samreshu_docs: выявлены расхождения в API контрактах, схеме БД, аутентификации, тестах и других компонентах."
 todos: []
 isProject: false
 ---
 # Отчёт: Соответствие бэкенда документации Samreshu
 ## 1. Базовый URL и структура API
 **Документация** ([contracts.md](samreshu_docs/api/contracts.md)):
 - Базовый URL: `/api/v1`
 - Все эндпоинты: `/api/v1/auth/`*, `/api/v1/profile/`*, `/api/v1/tests/*`, `/api/v1/admin/*`
 **Реализация** ([app.ts](src/app.ts)):
 - Префикс `/api/v1` отсутствует. Маршруты зарегистрированы как `/auth`, `/profile`, `/tests`, `/admin`
 - Фактические URL: `/auth/`*, `/profile/`*, `/tests/*`, `/admin/*`
 **Вывод:** Критическое расхождение. Клиент, следующий документации, будет отправлять запросы на несуществующие эндпоинты.
 ---
 ## 2. Аутентификация (Auth)
 ### 2.1 POST /auth/register
 | Аспект         | Документация                                      | Реализация                                                            |
 | -------------- | ------------------------------------------------- | --------------------------------------------------------------------- |
 | Response 201   | `{ user, accessToken }` + Set-Cookie refreshToken | `{ userId, message, verificationCode }`                               |
 | Логика         | Сразу выдаёт токены, отправляет письмо            | Требует верификацию email; не выдаёт токены; возвращает код (для dev) |
 | NICKNAME_TAKEN | —                                                 | Есть в коде; в документации не описан                                 |
 **Вывод:** Разный flow. Документация описывает выдачу токенов сразу после регистрации; реализация ожидает верификацию email.
 ### 2.2 POST /auth/login
 | Аспект                  | Документация                         | Реализация                                              |
 | ----------------------- | ------------------------------------ | ------------------------------------------------------- |
 | Response                | `{ user, accessToken }` + Set-Cookie | `{ accessToken, refreshToken, expiresIn }` — без `user` |
 | Lockout при brute force | 403 `ACCOUNT_LOCKED`                 | 429 `RATE_LIMIT_EXCEEDED`                               |
 | Ошибка неверных данных  | 401 `INVALID_CREDENTIALS`            | 401 `UNAUTHORIZED` (общий код)                          |
 **Вывод:** Расхождения в формате ответа, коде ошибки и семантике блокировки (403 vs 429).
 ### 2.3 POST /auth/logout
 | Аспект       | Документация             | Реализация                 |
 | ------------ | ------------------------ | -------------------------- |
 | Авторизация  | Bearer token             | refreshToken в теле        |
 | Request body | Пустое                   | `{ refreshToken: string }` |
 | Response     | 200 `{ message: "..." }` | 204 (без тела)             |
 **Вывод:** Другой механизм авторизации и формат ответа.
 ### 2.4 POST /auth/refresh
 | Аспект       | Документация    | Реализация                 |
 | ------------ | --------------- | -------------------------- |
 | Токен        | httpOnly cookie | `{ refreshToken }` в body  |
 | Request body | Пустое          | `{ refreshToken: string }` |
 **Вывод:** Документация предполагает cookie; реализация использует body.
 ### 2.5 POST /auth/verify-email
 | Аспект      | Документация | Реализация         |
 | ----------- | ------------ | ------------------ |
 | Request     | `{ code }`   | `{ userId, code }` |
 | Авторизация | Bearer token | Не требуется       |
 **Вывод:** Документация — только `code` с Bearer; реализация — `userId` и `code` без Bearer.
 ### 2.6 POST /auth/reset-password
 | Аспект      | Документация | Реализация    |
 | ----------- | ------------ | ------------- |
 | Поле пароля | `password`   | `newPassword` |
 **Вывод:** Разные имена полей в теле запроса.
 ### 2.7 Set-Cookie для refresh token
 **Документация:** RefreshToken в httpOnly cookie (`Path=/api/v1/auth`, `Max-Age=604800`).
 **Реализация:** Cookie не устанавливаются; refresh token возвращается только в JSON.
 ---
 ## 3. Profile
 ### 3.1 GET /profile
 **Документация:** Ответ включает `role`, `plan` (из subscriptions).
 **Реализация** ([user.service.ts](src/services/user/user.service.ts)): `getPrivateProfile` возвращает `id`, `nickname`, `avatarUrl`, `country`, `city`, `selfLevel`, `isPublic`, `email`, `emailVerifiedAt`, `createdAt`, `updatedAt`, `stats`. Поля `role` и `plan` отсутствуют.
 **Вывод:** В ответе нет полей, указанных в документации.
 ### 3.2 GET /profile/:username
 **Документация:** `stats: { testsCompleted, averageScore }`.
 **Реализация:** `stats: { byStack, totalTestsTaken, totalQuestions, correctAnswers, accuracy }` — другая структура.
 **Вывод:** Формат статистики не совпадает.
 ### 3.3 PATCH /profile
 **Документация:** Поле `avatarUrl` не описано.
 **Реализация:** Поддерживается `avatarUrl`.
 **Вывод:** Документация неполная (расхождение в пользу реализации).
 ---
 ## 4. Tests
 ### 4.1 POST /tests (создание)
 | Аспект              | Документация                                                                                                                         | Реализация                                    |
 | ------------------- | ------------------------------------------------------------------------------------------------------------------------------------ | --------------------------------------------- |
 | questionCount       | enum: 10 / 20                                                                                                                        | integer 1–50                                  |
 | stack/level (MVP 0) | html, css / basic, beginner                                                                                                          | Все значения enum                             |
 | Response структура  | `{ id, stack, level, questionCount, status, currentQuestion, startedAt, timeLimitSeconds, question: {...} }` — только текущий вопрос | `{ ...test, questions: [...] }` — все вопросы |
 **Вывод:** Разная структура ответа и валидация параметров.
 ### 4.2 POST /tests/:id/answer
 **Документация:** `{ answered: {...}, progress: {...}, nextQuestion: {...} }`.
 **Реализация:** Возвращает полный `TestSnapshot` отвеченного вопроса, без `progress` и `nextQuestion`.
 **Вывод:** Формат ответа не совпадает с документацией.
 ### 4.3 POST /tests/:id/finish
 | Аспект         | Документация                            | Реализация              |
 | -------------- | --------------------------------------- | ----------------------- |
 | score          | Количество правильных ответов (8 из 10) | Процент (0–100)         |
 | totalQuestions | В ответе                                | Нет в ответе            |
 | percentage     | В ответе                                | Нет (score как процент) |
 **Реализация** ([tests.service.ts](src/services/tests/tests.service.ts) 239–241):
 ```ts
 const score = Math.round((correctCount / questions.length) * 100);
 ```
 **Вывод:** Критическое расхождение: `score` в документации — количество, в реализации — процент.
 ### 4.4 GET /tests/:id/results
 **Документация:** Детальные результаты с `questions`, `userAnswer`, `correctAnswer`, `isCorrect`, `explanation`.
 **Реализация:** Эндпоинт отсутствует.
 **Вывод:** Критическое расхождение: описанный эндпоинт не реализован.
 ### 4.5 GET /tests/history
 | Аспект        | Документация                                           | Реализация                     |
 | ------------- | ------------------------------------------------------ | ------------------------------ |
 | Путь          | GET /tests/history                                     | GET /tests (то же для истории) |
 | Пагинация     | cursor-based (limit, cursor)                           | offset-based (limit, offset)   |
 | Формат ответа | `{ data: [...], pagination: { nextCursor, hasMore } }` | `{ tests: [...], total }`      |
 | Параметры     | stack, status фильтры                                  | Нет фильтров                   |
 **Вывод:** Другая схема пагинации и структура ответа.
 ### 4.6 Параметр теста
 **Документация:** `:id`.
 **Реализация:** `:testId` в params.
 **Вывод:** Незначительное расхождение в именовании.
 ---
 ## 5. Admin
 ### 5.1 Список вопросов
 | Аспект         | Документация                  | Реализация                   |
 | -------------- | ----------------------------- | ---------------------------- |
 | Эндпоинт       | GET /admin/questions/queue    | GET /admin/questions/pending |
 | Пагинация      | cursor (limit, cursor)        | offset (limit, offset)       |
 | status в query | pending / approved / rejected | —                            |
 ### 5.2 Редактирование
 **Документация:** PATCH /admin/questions/:id с `status: approved | rejected` и полями для правок.
 **Реализация:**
 - POST /admin/questions/:questionId/approve
 - POST /admin/questions/:questionId/reject
 - PATCH /admin/questions/:questionId — для редактирования
 **Вывод:** Другая схема: отдельные approve/reject вместо смены статуса через PATCH.
 ---
 ## 6. База данных
 ### 6.1 Таблицы
 **Документация** ([schema.md](samreshu_docs/database/schema.md)): `verification_tokens` (обобщённо).
 **Реализация:** Отдельные таблицы `email_verification_codes` и `password_reset_tokens` (в [verificationTokens.ts](src/db/schema/verificationTokens.ts)).
 **Вывод:** Расхождение в модели хранения токенов.
 ### 6.2 Отсутствующие таблицы (Phase 2+)
 В документации есть таблицы, которых нет в текущем коде: `oauth_accounts`, `totp_secrets`, `payments`, `payment_events`, `notifications_log`, `promo_codes`, `user_achievements`. Это ожидаемо для Phase 2+.
 ---
 ## 7. Безопасность
 ### 7.1 Argon2
 **Документация:** argon2id, 19 MiB, 2 iterations.
 **Реализация** ([password.ts](src/utils/password.ts)): `memoryCost: 19456` (KiB), `timeCost: 2`.
 **Вывод:** Совпадение.
 ### 7.2 JWT
 **Документация:** Access 15 мин, Refresh 7 дней, HS256.
 **Реализация:** `JWT_ACCESS_TTL=15m`, `JWT_REFRESH_TTL=7d`.
 **Вывод:** Совпадение.
 ### 7.3 Login lockout
 **Документация:** 5/15 мин, 10/1 ч, 20/24 ч.
 **Реализация** ([loginLockout.ts](src/utils/loginLockout.ts)): Те же пороги (5, 10, 20).
 **Вывод:** Совпадение.
 ### 7.4 Rate limits
 **Документация:** RATE_LIMIT_LOGIN, RATE_LIMIT_REGISTER, RATE_LIMIT_FORGOT_PASSWORD, RATE_LIMIT_VERIFY_EMAIL, RATE_LIMIT_API_AUTHED, RATE_LIMIT_API_GUEST.
 **Реализация** ([env.ts](src/config/env.ts)): RATE_LIMIT_LOGIN отсутствует (используется progressive lockout). Остальные переменные есть.
 **Вывод:** Незначительное расхождение; security.md упоминает RATE_LIMIT_LOGIN, но логика lockout иная.
 ### 7.5 CORS
 **Документация:** `http://localhost:5173`, `https://samreshu.ru`, `credentials: true`, методы GET, POST, PATCH, DELETE.
 **Реализация:** Origins из `CORS_ORIGINS`, `credentials: true`, методы включают PUT и OPTIONS.
 **Вывод:** Реализация шире, расхождение несущественное.
 ### 7.6 Helmet
 **Документация:** Полный набор заголовков, включая CSP.
 **Реализация:** `contentSecurityPolicy: false`, `crossOriginEmbedderPolicy: false`.
 **Вывод:** CSP и COEP отключены.
 ---
 ## 8. LLM
 ### 8.1 Конфигурация
 **Документация:** LLM_BASE_URL, LLM_MODEL, LLM_API_KEY, LLM_TIMEOUT_MS, LLM_MAX_RETRIES, LLM_TEMPERATURE, LLM_MAX_TOKENS.
 **Реализация:** Дополнительно `LLM_FALLBACK_MODEL`, `LLM_RETRY_DELAY_MS`.
 **Вывод:** Реализация расширяет документацию.
 ### 8.2 question_cache_meta
 **Документация:** model, generation_time_ms, prompt_hash. Также упоминаются valid, retry_count, questions_generated.
 **Реализация:** Нужно проверить сохранение этих полей в [questionCacheMeta](src/db/schema/questionCacheMeta.ts) и связанных сервисах.
 ---
 ## 9. Код и инфраструктура
 ### 9.1 Onboarding / setup
 **Документация:** docker-compose.dev.yml с postgres и redis.
 **Реализация:** Соответствует.
 ### 9.2 .env.example
 **Документация:** Полный перечень переменных.
 **Реализация:** Совпадает, включая rate limits и LLM. JWT_SECRET требует не менее 32 символов — в примере выполнено.
 ---
 ## 10. Сводка расхождений
 ### Критические
 1. Отсутствие префикса `/api/v1`
 2. Auth: другой flow (verify-email до токенов, refresh/logout через body вместо cookie)
 3. Tests: `score` как процент вместо количества
 4. Отсутствует GET /tests/:id/results
 5. Формат ответов create/answer/finish/history не совпадает с документацией
 ### Значительные
 1. Login lockout: 429 вместо 403 ACCOUNT_LOCKED
 2. Login: нет поля `user` в ответе
 3. Profile: нет `role`, `plan`; другая структура `stats`
 4. Admin: другой набор эндпоинтов и логика approve/reject
 5. Пагинация: offset вместо cursor
 ### Незначительные
 1. Имена полей (testId vs id, newPassword vs password)
 2. verify-email: userId + code вместо только code
 3. Эндпоинт admin: /pending вместо /queue
 ---
 ## Рекомендации
 1. **Привести маршрутизацию к документации:** добавить префикс `/api/v1` при регистрации роутов.
 2. **Унифицировать auth:** реализовать cookie для refresh token и обновить logout/refresh под документацию, либо явно зафиксировать в документации текущий подход (body).
 3. **Исправить score в тестах:** хранить и возвращать количество правильных ответов, а процент считать отдельно.
 4. **Реализовать GET /tests/:id/results** по описанному в документации формату.
 5. **Привести ответы create/answer/finish/history** к формату из contracts.md.
 6. **Обновить документацию** под уже реализованные отличия (offset, admin approve/reject и т.д.), если менять реализацию не планируется.
 7. **Расширить getPrivateProfile** полями `role` и `plan` из subscription middleware.
--- a/AGENT_TASK_BACKEND_SYNC.md
+++ b/AGENT_TASK_BACKEND_SYNC.md
@@ -1,221 +0,0 @@
 # Задача: Синхронизация бэкенда с документацией
 ## Контекст
 По итогам аудита документации vs кода приняты решения. Данная задача — изменения в backend-репозитории.
 ---
 ## 0. Настройка Cookie в Fastify
 Cookie нужны для хранения refresh token (httpOnly). Без этого разделы 3, 4 и 5 (logout, refresh, login Set-Cookie) не реализуемы.
 ### 0.1 Установка плагина
 ```bash
 npm install @fastify/cookie
 ```
 ### 0.2 Регистрация в app.ts
 Зарегистрировать **до** auth-роутов (cookie должны быть доступны в onRequest):
 ```ts
 import cookie from '@fastify/cookie';
 // После securityPlugin, до authPlugin
 await app.register(cookie, {
  secret: env.JWT_SECRET,  // для подписанных cookie (опционально)
  parseOptions: {},       // опции для парсинга входящих cookie
 });
 ```
 Порядок плагинов: `redis` → `database` → `security` → `cookie` → `rateLimit` → `auth` → `subscription` → routes.
 ### 0.3 Чтение cookie в роуте
 ```ts
 const refreshToken = req.cookies.refreshToken;  // string | undefined
 ```
 Если cookie не передан, `refreshToken` будет `undefined`.
 ### 0.4 Установка cookie в ответе
 ```ts
 reply.setCookie('refreshToken', token, {
  httpOnly: true,
  secure: env.NODE_ENV === 'production',
  sameSite: 'strict',
  path: '/api/v1/auth',
  maxAge: 604800,        // 7 дней в секундах
  signed: false,         // если не используем подпись
 });
 ```
 Для production: `secure: true` (только HTTPS). Для development: `secure: false`, иначе cookie не установится на localhost:3000 (если без HTTPS).
 ### 0.5 Очистка cookie (logout)
 ```ts
 reply.clearCookie('refreshToken', {
  path: '/api/v1/auth',
  httpOnly: true,
  secure: env.NODE_ENV === 'production',
  sameSite: 'strict',
 });
 ```
 Либо `reply.setCookie('refreshToken', '', { ... same opts ..., maxAge: 0 })`.
 ### 0.6 CORS и credentials
 Убедиться, что CORS настроен с `credentials: true` (уже есть в `@fastify/cors`), иначе браузер не будет отправлять cookie с cross-origin запросами. Origin фронтенда должен быть в whitelist `CORS_ORIGINS`.
 ### 0.7 Согласование пути cookie и роутов
 Cookie с `path: '/api/v1/auth'` отправляется только на запросы к `/api/v1/auth/*`. Refresh и logout должны вызываться по этим путям.
 ---
 ## 1. Префикс /api/v1
 **Файл:** `src/app.ts`
 При регистрации роутов добавить префикс `/api/v1`:
 ```ts
 await app.register(authRoutes, { prefix: '/api/v1/auth' });
 await app.register(profileRoutes, { prefix: '/api/v1/profile' });
 await app.register(testsRoutes, { prefix: '/api/v1/tests' });
 await app.register(adminQuestionsRoutes, { prefix: '/api/v1/admin' });
 ```
 Health check оставить без префикса (например `/health`) или перенести по необходимости.
 ---
 ## 2. Auth: Login — вернуть объект user в ответ
 **Файлы:** `src/routes/auth.ts`, `src/services/auth/auth.service.ts`
 - `AuthService.login()` должен возвращать `{ user, accessToken, refreshToken, expiresIn }`.
 - `user`: `{ id, email, nickname, avatarUrl, role, emailVerified }` — нужно подтянуть из БД.
 - Фронтенду нужны id, nickname, avatarUrl для стейта (шапка, Redux/Pinia).
 ---
 ## 3. Auth: Logout — по документации (cookie, Bearer)
 **Файлы:** `src/routes/auth.ts`, `src/services/auth/auth.service.ts`
 - **Авторизация:** Bearer token в заголовке.
 - **Request:** пустое тело (refresh token читается из cookie).
 - **Response:** 200 с `{ message: "Logged out successfully" }`.
 - Set-Cookie: `refreshToken=; ... Max-Age=0` для очистки cookie.
 Требуется:
 - Читать refresh token из cookie `refreshToken` (httpOnly cookie).
 - Удалять сессию по хешу refresh token.
 - Очищать cookie в ответе.
 ---
 ## 4. Auth: Refresh — по документации (cookie)
 **Файлы:** `src/routes/auth.ts`, `src/services/auth/auth.service.ts`
 - **Request:** пустое тело (refresh token из cookie).
 - **Response:** 200 с `{ accessToken }`.
 - Set-Cookie: новый refreshToken (ротация).
 Требуется:
 - Читать refresh token из cookie.
 - Убрать `refreshToken` из body в schema и коде.
 - Устанавливать httpOnly cookie с новым refresh token в ответе.
 ---
 ## 5. Auth: Login — установка cookie при успехе
 При успешном login устанавливать refresh token в httpOnly cookie:
 ```text
 Set-Cookie: refreshToken=<token>; HttpOnly; Secure; SameSite=Strict; Path=/api/v1/auth; Max-Age=604800
 ```
 В development (`NODE_ENV=development`) Secure можно опустить, если используется HTTP.
 ---
 ## 6. Profile: добавить role и plan в getPrivateProfile
 **Файлы:** `src/services/user/user.service.ts`, `src/routes/profile.ts`
 - Расширить `PrivateProfile`: добавить `role`, `plan`.
 - `role` — из `users.role`.
 - `plan` — из `subscriptions` через subscription middleware (уже загружается в `req.subscription` для GET /profile).
 - В route GET /profile после `getPrivateProfile` добавить в ответ `role: req.user` (из users) и `plan: req.subscription?.plan ?? 'free'`.
 Либо загружать subscription в UserService при запросе профиля и включать plan/role в ответ.
 ---
 ## 7. Tests: score — хранить и отдавать количество правильных
 **Файлы:** `src/services/tests/tests.service.ts`, `src/db/schema/tests.ts` (если нужно)
 - `score` в БД и API = количество правильных ответов (integer), не процент.
 - В `finishTest`: `score = correctCount` (не `Math.round((correctCount / questions.length) * 100)`).
 - В ответе finish и results: `{ score, totalQuestions, percentage }`, где `percentage = (score / totalQuestions) * 100`.
 ---
 ## 8. question_cache_meta: привести схему к документации
 **Файлы:** `src/db/schema/questionCacheMeta.ts`, миграция, `src/services/llm/llm.service.ts`, `src/services/questions/question.service.ts`
 Документация (llm/strategy.md) требует:
 | Поле | Тип | Описание |
 | - | - | - |
 | model | varchar | Уже есть как llm_model |
 | generation_time_ms | integer | Есть |
 | prompt_hash | varchar | Есть |
 | valid | boolean | Прошёл ли валидацию с первого раза |
 | retry_count | integer | Сколько retry потребовалось |
 | questions_generated | integer | Сколько вопросов вернул LLM |
 Действия:
 1. Добавить в схему `questionCacheMeta`: `valid` (boolean), `retryCount` (integer), `questionsGenerated` (integer).
 2. Создать миграцию Drizzle.
 3. Расширить `LlmGenerationMeta` в llm.service: `valid`, `retryCount`, `questionsGenerated`.
 4. В `LlmService.generateQuestions` и `chatWithMeta`: при необходимости возвращать retry count.
 5. В `QuestionService.generateAndPersistQuestions`: при вставке в `questionCacheMeta` передавать новые поля.
 ---
 ## 9. Cookie-настройки
 - Путь для cookie: `/api/v1/auth` (совпадает с префиксом auth-роутов).
 - Max-Age для refresh: 604800 (7 дней).
 - Secure: только в production (NODE_ENV=production).
 - SameSite=Strict.
 ---
 ## Чеклист
 - [x] @fastify/cookie установлен и зарегистрирован (раздел 0)
 - [x] Префикс /api/v1 для роутов
 - [x] Login: user в ответе (id, nickname, avatarUrl, role, emailVerified)
 - [x] Login: Set-Cookie refreshToken
 - [x] Logout: Bearer + cookie, пустое тело, 200 + message
 - [x] Refresh: cookie, пустое тело, 200 + accessToken + Set-Cookie
 - [x] getPrivateProfile: role, plan
 - [x] Tests finish: score = correctCount, возвращать score, totalQuestions, percentage
 - [x] question_cache_meta: valid, retryCount, questionsGenerated
 - [x] Обновить тесты под новые контракты
--- a/AGENT_TASK_DOCS_SYNC.md
+++ b/AGENT_TASK_DOCS_SYNC.md
@@ -1,157 +0,0 @@
 # Задача: Синхронизация документации с реализацией
 ## Контекст
 По итогам аудита документация должна быть приведена в соответствие с текущей реализацией backend. Данная задача — правки в samreshu_docs (submodule или основной репо с документацией).
 ---
 ## 1. API: Базовый URL
 Убедиться, что базовый URL `/api/v1` соответствует backend (после внесения префикса агентом backend). Если в docs есть примеры с другим базовым путём — исправить.
 ---
 ## 2. Auth: Register
 **Файл:** `samreshu_docs/api/contracts.md`
 - Регистрация **не выдаёт токены** до подтверждения email.
 - Response 201: `{ userId, message, verificationCode }` (verificationCode — для dev/тестов, в prod не отдаётся).
 - Добавить ошибку `NICKNAME_TAKEN` (409), если в коде она есть.
 ---
 ## 3. Auth: Login
 - Ошибка при блокировке (lockout): **429** `RATE_LIMIT_EXCEEDED` (не 403 ACCOUNT_LOCKED).
 - Response 200 должен включать объект `user`: `{ id, email, nickname, avatarUrl, role, emailVerified }`.
 - Set-Cookie: refreshToken (httpOnly, Secure, SameSite=Strict, Path=/api/v1/auth).
 ---
 ## 4. Auth: Verify-email
 - **Request:** `{ userId, code }` (не только code).
 - **Авторизация:** не требуется (Bearer не нужен).
 ---
 ## 5. Auth: Reset-password
 - **Request:** поле `newPassword` (не `password`).
 ---
 ## 6. Profile: GET /profile
 - В ответе: `role`, `plan` (из subscriptions).
 ---
 ## 7. Profile: GET /profile/:username (публичный профиль)
 - Структура `stats`: `{ byStack, totalTestsTaken, totalQuestions, correctAnswers, accuracy }` (а не только testsCompleted, averageScore).
 - Описать формат `byStack` и остальных полей.
 ---
 ## 8. Tests: POST /tests (создание)
 - Response: тест со списком **всех** вопросов в `questions` (не только текущий в `question`).
 - Структура ответа: `{ id, stack, level, questionCount, status, startedAt, timeLimitSeconds, questions: [...] }`.
 ---
 ## 9. Tests: POST /tests/:id/answer
 - Response: полный snapshot отвеченного вопроса (формат из реализации).
 - Указать, что структура может отличаться от минимальной "answered + progress + nextQuestion".
 ---
 ## 10. Tests: POST /tests/:id/finish
 - `score` — количество правильных ответов (integer).
 - В ответе: `score`, `totalQuestions`, `percentage` (процент считает фронтенд или он приходит с бэка).
 ---
 ## 11. Tests: GET /tests/history (или GET /tests для истории)
 - **Пагинация:** offset-based: `limit`, `offset` (не cursor).
 - Формат: `{ tests: [...], total }` (не `{ data, pagination }`).
 - Указать параметры `limit`, `offset`.
 ---
 ## 12. Admin
 - Эндпоинт списка: **GET /admin/questions/pending** (не /queue).
 - Отдельные эндпоинты: **POST /admin/questions/:id/approve**, **POST /admin/questions/:id/reject**.
 - **PATCH /admin/questions/:id** — для редактирования контента (без смены статуса).
 - Пагинация: limit/offset.
 ---
 ## 13. Database: Токены верификации
 **Файл:** `samreshu_docs/database/schema.md`
 - Вместо общей таблицы `verification_tokens` описать:
  - `email_verification_codes` (userId, code, expiresAt)
  - `password_reset_tokens` (userId, tokenHash, expiresAt)
 ---
 ## 14. Security: CORS
 **Файл:** `samreshu_docs/principles/security.md`
 - Origins задаются через переменную окружения **CORS_ORIGINS** (не хардкод localhost/prod).
 - Методы: **GET, POST, PATCH, DELETE, PUT, OPTIONS** (OPTIONS нужен для preflight, PUT — для идемпотентных обновлений).
 ---
 ## 15. Security: Helmet (CSP, COEP)
 - **CSP и COEP отключены** — бэкенд отдаёт только JSON API.
 - Эти заголовки предназначены для HTML-страниц; для REST API они не нужны и могут мешать Swagger UI.
 ---
 ## 16. LLM: Переменные окружения
 **Файлы:** `samreshu_docs/llm/strategy.md`, `samreshu_docs/onboarding/setup.md`
 Добавить в документацию:
 - **LLM_FALLBACK_MODEL** — запасная модель при падении основной.
 - **LLM_RETRY_DELAY_MS** — задержка между retry при ошибках API.
 ---
 ## 17. LLM: Логирование в question_cache_meta
 **Файл:** `samreshu_docs/llm/strategy.md`
 - Актуальная структура: `llm_model`, `prompt_hash`, `generation_time_ms`, `valid`, `retry_count`, `questions_generated`, `raw_response` (опционально).
 ---
 ## 18. Onboarding: .env.example
 - Закрепить правило: `.env.example` обновляется при добавлении новых фич (новые переменные, rate limits, LLM и т.д.).
 - Упомянуть требование JWT_SECRET >= 32 символа.
 ---
 ## Чеклист
 - [ ] api/contracts.md: register, login, verify-email, reset-password, logout, refresh
 - [ ] api/contracts.md: profile (role, plan, stats)
 - [ ] api/contracts.md: tests (create, answer, finish, history)
 - [ ] api/contracts.md: admin (pending, approve, reject, PATCH)
 - [ ] database/schema.md: email_verification_codes, password_reset_tokens
 - [ ] principles/security.md: CORS, Helmet
 - [ ] llm/strategy.md: LLM_FALLBACK_MODEL, LLM_RETRY_DELAY_MS, question_cache_meta
 - [ ] onboarding/setup.md: правило .env.example
--- a/package-lock.json
+++ b/package-lock.json
@@ -8,7 +8,6 @@
      "name": "samreshu-backend",
      "version": "0.1.0",
      "dependencies": {
        "@fastify/cookie": "^11.0.2",
        "@fastify/cors": "^10.0.0",
        "@fastify/helmet": "^12.0.0",
        "@fastify/rate-limit": "^10.0.0",
@@ -1181,42 +1180,6 @@
      "integrity": "sha512-NM8/P9n3XjXhIZn1lLhkFaACTOURQXjWhV4BA/RnOv8xvgqtqpAX9IO4mRQxSx1Rlo4tqzeqb0sOlruaOy3dug==",
      "license": "MIT"
    },
    "node_modules/@fastify/cookie": {
      "version": "11.0.2",
      "resolved": "https://registry.npmjs.org/@fastify/cookie/-/cookie-11.0.2.tgz",
      "integrity": "sha512-GWdwdGlgJxyvNv+QcKiGNevSspMQXncjMZ1J8IvuDQk0jvkzgWWZFNC2En3s+nHndZBGV8IbLwOI/sxCZw/mzA==",
      "funding": [
        {
          "type": "github",
          "url": "https://github.com/sponsors/fastify"
        },
        {
          "type": "opencollective",
          "url": "https://opencollective.com/fastify"
        }
      ],
      "license": "MIT",
      "dependencies": {
        "cookie": "^1.0.0",
        "fastify-plugin": "^5.0.0"
      }
    },
    "node_modules/@fastify/cookie/node_modules/fastify-plugin": {
      "version": "5.1.0",
      "resolved": "https://registry.npmjs.org/fastify-plugin/-/fastify-plugin-5.1.0.tgz",
      "integrity": "sha512-FAIDA8eovSt5qcDgcBvDuX/v0Cjz0ohGhENZ/wpc3y+oZCY2afZ9Baqql3g/lC+OHRnciQol4ww7tuthOb9idw==",
      "funding": [
        {
          "type": "github",
          "url": "https://github.com/sponsors/fastify"
        },
        {
          "type": "opencollective",
          "url": "https://opencollective.com/fastify"
        }
      ],
      "license": "MIT"
    },
    "node_modules/@fastify/cors": {
      "version": "10.1.0",
      "resolved": "https://registry.npmjs.org/@fastify/cors/-/cors-10.1.0.tgz",
--- a/package.json
+++ b/package.json
@@ -20,7 +20,6 @@
    "typecheck": "tsc --noEmit"
  },
  "dependencies": {
    "@fastify/cookie": "^11.0.2",
    "@fastify/cors": "^10.0.0",
    "@fastify/helmet": "^12.0.0",
    "@fastify/rate-limit": "^10.0.0",
--- a/src/app.ts
+++ b/src/app.ts
@@ -1,5 +1,4 @@
 import Fastify, { FastifyInstance } from 'fastify';
 import cookie from '@fastify/cookie';
 import { AppError } from './utils/errors.js';
 import databasePlugin from './plugins/database.js';
 import redisPlugin from './plugins/redis.js';
@@ -75,17 +74,13 @@ export async function buildApp(): Promise<FastifyInstance> {
  await app.register(redisPlugin);
  await app.register(databasePlugin);
  await app.register(securityPlugin);
  await app.register(cookie, {
    secret: env.JWT_SECRET,
    parseOptions: {},
  });
  await app.register(rateLimitPlugin);
  await app.register(authPlugin);
  await app.register(subscriptionPlugin);
-  await app.register(authRoutes, { prefix: '/api/v1/auth' });
+  await app.register(authRoutes, { prefix: '/auth' });
-  await app.register(profileRoutes, { prefix: '/api/v1/profile' });
+  await app.register(profileRoutes, { prefix: '/profile' });
-  await app.register(testsRoutes, { prefix: '/api/v1/tests' });
+  await app.register(testsRoutes, { prefix: '/tests' });
-  await app.register(adminQuestionsRoutes, { prefix: '/api/v1/admin' });
+  await app.register(adminQuestionsRoutes, { prefix: '/admin' });
  app.get('/health', async () => ({ status: 'ok', timestamp: new Date().toISOString() }));
--- a/src/db/migrations/0001_fluffy_yellowjacket.sql
+++ b/src/db/migrations/0001_fluffy_yellowjacket.sql
@@ -1,3 +0,0 @@
 ALTER TABLE "question_cache_meta" ADD COLUMN "valid" boolean DEFAULT true NOT NULL;--> statement-breakpoint
 ALTER TABLE "question_cache_meta" ADD COLUMN "retry_count" integer DEFAULT 0 NOT NULL;--> statement-breakpoint
 ALTER TABLE "question_cache_meta" ADD COLUMN "questions_generated" integer DEFAULT 0 NOT NULL;
--- a/src/db/migrations/meta/0001_snapshot.json
+++ b/src/db/migrations/meta/0001_snapshot.json
--- a/src/db/migrations/meta/_journal.json
+++ b/src/db/migrations/meta/_journal.json
@@ -8,13 +8,6 @@
      "when": 1772620981431,
      "tag": "0000_fearless_salo",
      "breakpoints": true
    },
    {
      "idx": 1,
      "version": "7",
      "when": 1772792192122,
      "tag": "0001_fluffy_yellowjacket",
      "breakpoints": true
    }
  ]
 }
--- a/src/db/schema/questionCacheMeta.ts
+++ b/src/db/schema/questionCacheMeta.ts
@@ -1,4 +1,4 @@
-import { pgTable, uuid, varchar, integer, timestamp, boolean } from 'drizzle-orm/pg-core';
+import { pgTable, uuid, varchar, integer, timestamp } from 'drizzle-orm/pg-core';
 import { jsonb } from 'drizzle-orm/pg-core';
 import { questionBank } from './questionBank.js';
@@ -11,9 +11,6 @@ export const questionCacheMeta = pgTable('question_cache_meta', {
  promptHash: varchar('prompt_hash', { length: 64 }).notNull(),
  generationTimeMs: integer('generation_time_ms').notNull(),
  rawResponse: jsonb('raw_response').$type<unknown>(),
  valid: boolean('valid').notNull().default(true),
  retryCount: integer('retry_count').notNull().default(0),
  questionsGenerated: integer('questions_generated').notNull().default(0),
  createdAt: timestamp('created_at', { withTimezone: true }).notNull().defaultNow(),
 });
--- a/src/routes/auth.ts
+++ b/src/routes/auth.ts
@@ -1,21 +1,6 @@
 import type { FastifyInstance } from 'fastify';
 import { AuthService } from '../services/auth/auth.service.js';
 import { checkBlocked, clearOnSuccess, recordFailedAttempt } from '../utils/loginLockout.js';
 import { env } from '../config/env.js';
 const COOKIE_PATH = '/api/v1/auth';
 const REFRESH_MAX_AGE = 604800; // 7 days
 function getRefreshCookieOptions() {
  return {
    httpOnly: true,
    secure: env.NODE_ENV === 'production',
    sameSite: 'strict' as const,
    path: COOKIE_PATH,
    maxAge: REFRESH_MAX_AGE,
    signed: false,
  };
 }
 const registerSchema = {
  body: {
@@ -40,11 +25,17 @@ const loginSchema = {
  },
 };
-/** Refresh: empty body, token from cookie */
+const refreshTokenSchema = {
-const refreshSchema = { body: { type: 'object', properties: {} } };
+  body: {
    type: 'object',
    required: ['refreshToken'],
    properties: {
      refreshToken: { type: 'string' },
    },
  },
 };
-/** Logout: Bearer + cookie, empty body */
+const logoutSchema = refreshTokenSchema;
 const logoutSchema = { body: { type: 'object', properties: {} } };
 const verifyEmailSchema = {
  body: {
@@ -131,7 +122,6 @@ export async function authRoutes(app: FastifyInstance) {
          ipAddress: ip,
        });
        await clearOnSuccess(app.redis, ip);
        reply.setCookie('refreshToken', result.refreshToken, getRefreshCookieOptions());
        return reply.send(result);
      } catch (err) {
        await recordFailedAttempt(app.redis, ip);
@@ -142,40 +132,29 @@ export async function authRoutes(app: FastifyInstance) {
  app.post(
    '/logout',
-    {
+    { schema: logoutSchema, config: { rateLimit: rateLimitOptions.apiGuest } },
      schema: logoutSchema,
      config: { rateLimit: rateLimitOptions.apiGuest },
      preHandler: [app.authenticate],
    },
    async (req, reply) => {
-      const refreshToken = req.cookies?.refreshToken;
+      const body = req.body as { refreshToken: string };
-      await authService.logout(refreshToken);
+      await authService.logout(body.refreshToken);
-      reply.clearCookie('refreshToken', {
+      return reply.status(204).send();
        path: COOKIE_PATH,
        httpOnly: true,
        secure: env.NODE_ENV === 'production',
        sameSite: 'strict',
      });
      return reply.status(200).send({ message: 'Logged out successfully' });
    },
  );
  app.post(
    '/refresh',
-    { schema: refreshSchema, config: { rateLimit: rateLimitOptions.apiGuest } },
+    { schema: refreshTokenSchema, config: { rateLimit: rateLimitOptions.apiGuest } },
    async (req, reply) => {
-      const refreshToken = req.cookies?.refreshToken;
+      const body = req.body as { refreshToken: string };
      const userAgent = req.headers['user-agent'];
      const ipAddress = req.ip;
      const result = await authService.refresh({
-        refreshToken,
+        refreshToken: body.refreshToken,
        userAgent,
        ipAddress,
      });
-      reply.setCookie('refreshToken', result.refreshToken, getRefreshCookieOptions());
+      return reply.send(result);
      return reply.send({ accessToken: result.accessToken });
    },
  );
--- a/src/routes/profile.ts
+++ b/src/routes/profile.ts
@@ -38,8 +38,7 @@ export async function profileRoutes(app: FastifyInstance) {
    },
    async (req, reply) => {
      const userId = req.user!.id;
-      const plan = req.subscription?.plan ?? 'free';
+      const profile = await userService.getPrivateProfile(userId);
      const profile = await userService.getPrivateProfile(userId, plan);
      return reply.send(profile);
    },
  );
--- a/src/services/auth/auth.service.ts
+++ b/src/services/auth/auth.service.ts
@@ -34,24 +34,14 @@ export interface LoginInput {
  ipAddress?: string;
 }
 export interface LoginUser {
  id: string;
  email: string;
  nickname: string;
  avatarUrl: string | null;
  role: string;
  emailVerified: boolean;
 }
 export interface LoginResult {
  user: LoginUser;
  accessToken: string;
  refreshToken: string;
  expiresIn: number;
 }
 export interface RefreshInput {
-  refreshToken: string | undefined;
+  refreshToken: string;
  userAgent?: string;
  ipAddress?: string;
 }
@@ -148,24 +138,18 @@ export class AuthService {
    });
    return {
      user: {
        id: user.id,
        email: user.email,
        nickname: user.nickname,
        avatarUrl: user.avatarUrl ?? null,
        role: user.role,
        emailVerified: !!user.emailVerifiedAt,
      },
      accessToken,
      refreshToken,
      expiresIn: Math.floor(REFRESH_TTL_MS / 1000),
    };
  }
-  async refresh(input: RefreshInput): Promise<{ accessToken: string; refreshToken: string; expiresIn: number }> {
+  async logout(refreshToken: string): Promise<void> {
-    if (!input.refreshToken) {
+    const hash = hashToken(refreshToken);
-      throw new AppError(ERROR_CODES.INVALID_REFRESH_TOKEN, 'Refresh token required (cookie)', 401);
+    await this.db.delete(sessions).where(eq(sessions.refreshTokenHash, hash));
-    }
+  }
  async refresh(input: RefreshInput): Promise<LoginResult> {
    const payload = await verifyToken(input.refreshToken);
    if (!isRefreshPayload(payload)) {
@@ -215,12 +199,6 @@ export class AuthService {
    };
  }
  async logout(refreshToken: string | undefined): Promise<void> {
    if (!refreshToken) return;
    const hash = hashToken(refreshToken);
    await this.db.delete(sessions).where(eq(sessions.refreshTokenHash, hash));
  }
  async verifyEmail(userId: string, verificationCode: string): Promise<void> {
    const codeUpper = verificationCode.toUpperCase();
    const [record] = await this.db
--- a/src/services/llm/llm.service.ts
+++ b/src/services/llm/llm.service.ts
@@ -64,9 +64,6 @@ export interface LlmGenerationMeta {
  promptHash: string;
  generationTimeMs: number;
  rawResponse: unknown;
  valid: boolean;
  retryCount: number;
  questionsGenerated: number;
 }
 export interface GenerateQuestionsResult {
@@ -96,10 +93,8 @@ export class LlmService {
    return content;
  }
-  /** Returns content, model, and retry count (for logging to question_cache_meta) */
+  /** Returns content and model used (for logging to question_cache_meta) */
-  async chatWithMeta(
+  async chatWithMeta(messages: ChatMessage[]): Promise<{ content: string; model: string }> {
    messages: ChatMessage[]
  ): Promise<{ content: string; model: string; retryCount: number }> {
    let lastError: Error | null = null;
    const modelsToTry = [this.config.model];
@@ -111,7 +106,7 @@ export class LlmService {
      for (let attempt = 0; attempt <= this.config.maxRetries; attempt++) {
        try {
          const content = await this.executeChat(messages, model);
-          return { content, model, retryCount: attempt };
+          return { content, model };
        } catch (err) {
          lastError = err instanceof Error ? err : new Error('LLM request failed');
          if (attempt < this.config.maxRetries) {
@@ -190,7 +185,7 @@ Rules: type must be one of: ${typeList}. For single_choice/multiple_select: opti
    const promptHash = createHash('sha256').update(promptForHash).digest('hex');
    const start = Date.now();
-    const { content: raw, model, retryCount } = await this.chatWithMeta([
+    const { content: raw, model } = await this.chatWithMeta([
      { role: 'system', content: systemPrompt },
      { role: 'user', content: userPrompt },
    ]);
@@ -226,9 +221,6 @@ Rules: type must be one of: ${typeList}. For single_choice/multiple_select: opti
        promptHash,
        generationTimeMs,
        rawResponse: parsed,
        valid: retryCount === 0,
        retryCount,
        questionsGenerated: questions.length,
      },
    };
  }
--- a/src/services/questions/question.service.ts
+++ b/src/services/questions/question.service.ts
@@ -179,9 +179,6 @@ export class QuestionService {
          promptHash: meta.promptHash,
          generationTimeMs: meta.generationTimeMs,
          rawResponse: meta.rawResponse,
          valid: meta.valid,
          retryCount: meta.retryCount,
          questionsGenerated: meta.questionsGenerated,
        });
        inserted.push({
--- a/src/services/tests/tests.service.ts
+++ b/src/services/tests/tests.service.ts
@@ -39,8 +39,6 @@ export type TestWithQuestions = {
  mode: string;
  status: string;
  score: number | null;
  totalQuestions: number;
  percentage: number | null;
  startedAt: string;
  finishedAt: string | null;
  timeLimitSeconds: number | null;
@@ -238,7 +236,7 @@ export class TestsService {
    }
    const correctCount = questions.filter((q) => q.isCorrect === true).length;
-    const score = correctCount; // score = count of correct answers, not percentage
+    const score = Math.round((correctCount / questions.length) * 100);
    const [updatedTest] = await this.db
      .update(tests)
@@ -370,11 +368,6 @@ export class TestsService {
    test: (typeof tests.$inferSelect),
    questionsRows: (typeof testQuestions.$inferSelect)[]
  ): TestWithQuestions {
    const totalQuestions = questionsRows.length;
    const percentage =
      test.score !== null && totalQuestions > 0
        ? (test.score / totalQuestions) * 100
        : null;
    return {
      id: test.id,
      userId: test.userId,
@@ -384,8 +377,6 @@ export class TestsService {
      mode: test.mode,
      status: test.status,
      score: test.score,
      totalQuestions,
      percentage,
      startedAt: test.startedAt.toISOString(),
      finishedAt: test.finishedAt?.toISOString() ?? null,
      timeLimitSeconds: test.timeLimitSeconds,
--- a/src/services/user/user.service.ts
+++ b/src/services/user/user.service.ts
@@ -1,7 +1,7 @@
 import { eq } from 'drizzle-orm';
 import type { NodePgDatabase } from 'drizzle-orm/node-postgres';
 import type * as schema from '../../db/schema/index.js';
-import { users, userStats, subscriptions } from '../../db/schema/index.js';
+import { users, userStats } from '../../db/schema/index.js';
 import { notFound, conflict, ERROR_CODES } from '../../utils/errors.js';
 import type { User } from '../../db/schema/users.js';
 import type { SelfLevel } from '../../db/schema/index.js';
@@ -50,8 +50,6 @@ export type PrivateProfile = PublicProfile & {
  emailVerifiedAt: string | null;
  createdAt: string;
  updatedAt: string;
  role: string;
  plan: 'free' | 'pro';
 };
 async function getStatsForUser(db: Db, userId: string): Promise<ProfileStats> {
@@ -90,19 +88,13 @@ function toPublicProfile(user: User, stats: ProfileStats): PublicProfile {
  };
 }
-function toPrivateProfile(
+function toPrivateProfile(user: User, stats: ProfileStats): PrivateProfile {
  user: User,
  stats: ProfileStats,
  plan: 'free' | 'pro' = 'free'
 ): PrivateProfile {
  return {
    ...toPublicProfile(user, stats),
    email: user.email,
    emailVerifiedAt: user.emailVerifiedAt?.toISOString() ?? null,
    createdAt: user.createdAt.toISOString(),
    updatedAt: user.updatedAt.toISOString(),
    role: user.role,
    plan,
  };
 }
@@ -123,15 +115,12 @@ export class UserService {
    return user ?? null;
  }
-  async getPrivateProfile(
+  async getPrivateProfile(userId: string): Promise<PrivateProfile> {
    userId: string,
    plan: 'free' | 'pro' = 'free'
  ): Promise<PrivateProfile> {
    const [user, stats] = await Promise.all([this.getById(userId), getStatsForUser(this.db, userId)]);
    if (!user) {
      throw notFound('User not found');
    }
-    return toPrivateProfile(user, stats, plan);
+    return toPrivateProfile(user, stats);
  }
  async getPublicProfile(username: string): Promise<PublicProfile> {
@@ -181,18 +170,6 @@ export class UserService {
    }
    const stats = await getStatsForUser(this.db, userId);
-    const plan = await this.getPlanForUser(userId);
+    return toPrivateProfile(updated, stats);
    return toPrivateProfile(updated, stats, plan);
  }
  async getPlanForUser(userId: string): Promise<'free' | 'pro'> {
    const [sub] = await this.db
      .select()
      .from(subscriptions)
      .where(eq(subscriptions.userId, userId))
      .limit(1);
    if (!sub || (sub.expiresAt && sub.expiresAt < new Date())) return 'free';
    if (sub.plan === 'pro' && (sub.status === 'active' || sub.status === 'trialing')) return 'pro';
    return 'free';
  }
 }
--- a/tests/helpers/build-test-app.ts
+++ b/tests/helpers/build-test-app.ts
@@ -1,17 +1,9 @@
 import Fastify, { FastifyInstance } from 'fastify';
 import cookie from '@fastify/cookie';
 import fp from 'fastify-plugin';
 import { AppError } from '../../src/utils/errors.js';
 import authPlugin from '../../src/plugins/auth.js';
 import { authRoutes } from '../../src/routes/auth.js';
 import type { MockDb } from '../test-utils.js';
 import { createMockDb } from '../test-utils.js';
 const mockDatabasePlugin = (db: MockDb) =>
  fp(async (app) => {
    app.decorate('db', db);
  }, { name: 'database' });
 /** Mock Redis for login lockout in auth tests. Implements ttl, setex, del, eval. */
 const mockRedis = {
  async ttl(_key: string): Promise<number> {
@@ -58,6 +50,7 @@ export async function buildAuthTestApp(mockDb?: MockDb): Promise<FastifyInstance
    return reply.status(500).send({ error: { code: 'INTERNAL_ERROR', message: error.message } });
  });
  app.decorate('db', db);
  app.decorate('redis', mockRedis);
  app.decorate('rateLimitOptions', {
    register: { max: 100, timeWindow: '1 hour' },
@@ -67,10 +60,7 @@ export async function buildAuthTestApp(mockDb?: MockDb): Promise<FastifyInstance
    apiGuest: { max: 100, timeWindow: '1 minute' },
  });
-  await app.register(mockDatabasePlugin(db));
+  await app.register(authRoutes, { prefix: '/auth' });
  await app.register(cookie, { secret: 'test-secret-at-least-32-characters-long' });
  await app.register(authPlugin);
  await app.register(authRoutes, { prefix: '/api/v1/auth' });
  return app;
 }
--- a/tests/integration/auth.routes.test.ts
+++ b/tests/integration/auth.routes.test.ts
@@ -1,12 +1,4 @@
 import { describe, it, expect, vi, beforeEach } from 'vitest';
 vi.mock('../../src/config/env.js', () => ({
  env: {
    NODE_ENV: 'test',
    JWT_SECRET: 'test-secret',
  },
 }));
 import { buildAuthTestApp } from '../helpers/build-test-app.js';
 import {
  createMockDb,
@@ -25,7 +17,6 @@ vi.mock('../../src/utils/jwt.js', () => ({
  signAccessToken: vi.fn().mockResolvedValue('access-token'),
  signRefreshToken: vi.fn().mockResolvedValue('refresh-token'),
  verifyToken: vi.fn(),
  isAccessPayload: vi.fn((p: { type?: string }) => p?.type === 'access'),
  isRefreshPayload: vi.fn(),
  hashToken: vi.fn((t: string) => `hash-${t}`),
 }));
@@ -58,7 +49,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/register',
+        url: '/auth/register',
        payload: {
          email: 'test@example.com',
          password: 'password123',
@@ -80,7 +71,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/register',
+        url: '/auth/register',
        payload: {
          email: 'test@example.com',
          password: 'password123',
@@ -96,7 +87,7 @@ describe('Auth routes integration', () => {
    it('returns 422 when validation fails', async () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/register',
+        url: '/auth/register',
        payload: {
          email: 'short',
          password: '123', // too short
@@ -111,14 +102,10 @@ describe('Auth routes integration', () => {
  });
  describe('POST /auth/login', () => {
-    it('returns user and tokens when credentials are valid', async () => {
+    it('returns tokens when credentials are valid', async () => {
      const mockUser = {
        id: 'user-1',
        email: 'test@example.com',
        nickname: 'tester',
        avatarUrl: null,
        role: 'free',
        emailVerifiedAt: null,
        passwordHash: 'hashed',
      };
      (mockDb.select as ReturnType<typeof vi.fn>).mockReturnValueOnce(
@@ -130,16 +117,12 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/login',
+        url: '/auth/login',
        payload: { email: 'test@example.com', password: 'password123' },
      });
      expect(res.statusCode).toBe(200);
      const body = JSON.parse(res.body);
      expect(body.user).toBeDefined();
      expect(body.user.id).toBe('user-1');
      expect(body.user.email).toBe('test@example.com');
      expect(body.user.nickname).toBeDefined();
      expect(body.accessToken).toBe('access-token');
      expect(body.refreshToken).toBe('refresh-token');
    });
@@ -151,7 +134,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/login',
+        url: '/auth/login',
        payload: { email: 'unknown@example.com', password: 'wrong' },
      });
@@ -160,31 +143,23 @@ describe('Auth routes integration', () => {
  });
  describe('POST /auth/logout', () => {
-    it('returns 200 with message on success (Bearer + cookie)', async () => {
+    it('returns 204 on success', async () => {
      vi.mocked(verifyToken).mockResolvedValueOnce({
        sub: 'user-1',
        email: 'test@example.com',
        type: 'access',
      } as never);
      (mockDb.delete as ReturnType<typeof vi.fn>).mockReturnValueOnce(
        deleteChain()
      );
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/logout',
+        url: '/auth/logout',
-        headers: { authorization: 'Bearer valid-access-token' },
+        payload: { refreshToken: 'some-token' },
        payload: {},
      });
-      expect(res.statusCode).toBe(200);
+      expect(res.statusCode).toBe(204);
      const body = JSON.parse(res.body);
      expect(body.message).toBe('Logged out successfully');
    });
  });
  describe('POST /auth/refresh', () => {
-    it('returns accessToken when refresh token from cookie is valid', async () => {
+    it('returns new tokens when refresh token is valid', async () => {
      vi.mocked(verifyToken).mockResolvedValueOnce({
        sub: 'user-1',
        sid: 'sid-1',
@@ -203,15 +178,14 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/refresh',
+        url: '/auth/refresh',
-        payload: {},
+        payload: { refreshToken: 'valid-refresh-token' },
        headers: { cookie: 'refreshToken=valid-refresh-token' },
      });
      expect(res.statusCode).toBe(200);
      const body = JSON.parse(res.body);
      expect(body.accessToken).toBe('access-token');
-      expect(body.refreshToken).toBeUndefined();
+      expect(body.refreshToken).toBe('refresh-token');
    });
  });
@@ -235,7 +209,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/verify-email',
+        url: '/auth/verify-email',
        payload: { userId: 'user-1', code: 'ABC123' },
      });
@@ -254,7 +228,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/forgot-password',
+        url: '/auth/forgot-password',
        payload: { email: 'test@example.com' },
      });
@@ -281,7 +255,7 @@ describe('Auth routes integration', () => {
      const res = await app.inject({
        method: 'POST',
-        url: '/api/v1/auth/reset-password',
+        url: '/auth/reset-password',
        payload: { token: 'valid-token', newPassword: 'newPassword123' },
      });
--- a/tests/services/auth.service.test.ts
+++ b/tests/services/auth.service.test.ts
@@ -91,14 +91,10 @@ describe('AuthService', () => {
  });
  describe('login', () => {
-    it('returns user and tokens when credentials are valid', async () => {
+    it('returns tokens when credentials are valid', async () => {
      const mockUser = {
        id: 'user-1',
        email: 'test@example.com',
        nickname: 'tester',
        avatarUrl: null,
        role: 'free',
        emailVerifiedAt: null,
        passwordHash: 'hashed',
      };
      (mockDb.select as ReturnType<typeof vi.fn>).mockReturnValueOnce(
@@ -113,9 +109,6 @@ describe('AuthService', () => {
        password: 'password123',
      });
      expect(result.user).toBeDefined();
      expect(result.user.id).toBe('user-1');
      expect(result.user.email).toBe('test@example.com');
      expect(result.accessToken).toBe('access-token');
      expect(result.refreshToken).toBe('refresh-token');
      expect(verifyPassword).toHaveBeenCalledWith('hashed', 'password123');
--- a/tests/services/tests.service.test.ts
+++ b/tests/services/tests.service.test.ts
@@ -214,7 +214,7 @@ describe('TestsService', () => {
  describe('getHistory', () => {
    it('returns paginated test history', async () => {
      const mockTests = [
-        { id: 't-1', userId: 'user-1', stack: 'js', level: 'beginner', questionCount: 1, mode: 'fixed', status: 'completed', score: 1, startedAt: new Date(), finishedAt: new Date(), timeLimitSeconds: null },
+        { id: 't-1', userId: 'user-1', stack: 'js', level: 'beginner', questionCount: 1, mode: 'fixed', status: 'completed', score: 100, startedAt: new Date(), finishedAt: new Date(), timeLimitSeconds: null },
      ];
      const mockTqRows = [];
      (mockDb.select as ReturnType<typeof vi.fn>)