Modulo 3.5 - API e microservico

📐 Contract-first: OpenAPI antes do codigo

GPT-5.5 produz openapi.yaml com 8 endpoints, schemas, exemplos de erro. Vira input para todo o resto.

openapi.yaml (extrato)

paths:
  /api/v1/orders:
    post:
      summary: Cria novo pedido
      security: [{ bearerAuth: [] }]
      requestBody:
        content:
          application/json:
            schema: { $ref: '#/components/schemas/CreateOrder' }
            examples:
              valid: { summary: 'pedido valido', value: {...} }
              invalid_amount: { summary: 'amount negativo', value: {...} }
      responses:
        '201': { description: 'Criado', content: ... }
        '400': { $ref: '#/components/responses/ValidationError' }
        '401': { $ref: '#/components/responses/Unauthorized' }
        '429': { $ref: '#/components/responses/RateLimited' }

Contrato antes do codigo elimina ambiguidade. Quem usa a API tem doc; quem implementa tem spec.

⚡ DeepSeek gera handlers

Para cada endpoint da spec, DeepSeek cria handler com validacao de input, chamada de service, mapeamento de erro. Handlers sao formula — DeepSeek com spec clara nao erra.

routes/orders.create.ts
routes/orders.list.ts
routes/orders.get.ts
routes/orders.update.ts
routes/orders.cancel.ts
routes/customers.* (3 endpoints)

8 handlers + middlewares (auth, rate limit, validation) = 18 arquivos.

🧪 Testes a partir dos exemplos

Examples de OpenAPI viram fixtures de teste automaticamente. Reuso entre spec e teste elimina duplicacao.

Cobertura

• 8 endpoints × 3-4 cenarios cada = 23 testes
• Cobre: auth missing/invalid, validation errors, happy path, rate limit, server error
• Cobertura de linhas: 87%
• Cobertura de branches: 81%

🛡️ GPT-5.5 audita seguranca

Pass especializado: GPT-5.5 le todos os handlers checando auth, rate limit, OWASP top 10.

Output: 0 issues criticas, 2 medias

⚠️ orders.list: permite paginacao com limit acima de 1000 — risco de timeout. Cap em 100.
⚠️ orders.get: error message diferente para 404 vs 401 — vaza existencia. Use 404 para ambos.
✓ Auth aplicado em todos endpoints autenticados
✓ Rate limit por IP + por user_id
✓ Sem SQL injection (queries parametrizadas)
✓ Sem leak de stack trace em erros

📜 SDK cliente automaticamente

Combine openapi-generator (cli) + DeepSeek refinando. Saida: SDK TS tipado para a API, com docstrings.

// SDK TS gerado
import { OrdersClient } from '@yourapi/sdk';

const client = new OrdersClient({
  baseURL: 'https://api.suaempresa.com',
  token: process.env.API_TOKEN
});

// Tipos completos, autocomplete, docs inline
const order = await client.orders.create({
  customerId: 'cust_123',
  amount: 9990, // em centavos
  currency: 'BRL'
});

SDK gerado e bonus que faz quem consome a API ter experiencia de primeira (DX).

💰 Resultado: $2.10, cobertura 87%

Etapa	Custo
GPT-5.5 OpenAPI spec	$0.30
DeepSeek handlers	$0.65
DeepSeek testes	$0.45
GPT-5.5 audit seg.	$0.40
DeepSeek SDK	$0.30
Total	$2.10

Entrega: 8 endpoints, 23 testes, OpenAPI doc, SDK TS, 0 vulnerabilidades criticas. Tempo: 2h. "Engenharia seria" virou trivial com setup multi-modelo.

📌 Resumo do Projeto

✓

Contract-first: OpenAPI antes do codigo elimina ambiguidade

✓

Handlers from spec: DeepSeek nao erra com spec clara

✓

Examples viram testes: reuso elimina duplicacao

✓

Audit dedicado de seguranca: API exposta tem grande superficie

✓

SDK gerado: DX de primeira para quem consome

✓

87% cobertura, $2.10: caso forte para vender a CTOs

Proximo Projeto:

3.6 — 🏁 Estudo comparativo

← Projeto 3.4 Proximo Projeto →