academia/docs/architecture/decisions/ADR-004-validation-strategy.md

# ADR-004: Estrategia de Validación en 3 Capas

**Estado:** Aceptado
**Fecha:** 2026-01-07

## Contexto

Las reglas de negocio críticas son:
- Máximo 3 materias por estudiante (9 créditos)
- No repetir profesor en inscripciones
- Datos de entrada válidos (email, nombre)

## Decisión

Validar en **3 capas** con responsabilidades distintas:

| Capa | Responsabilidad | Tecnología |
|------|-----------------|------------|
| Frontend | UX, feedback rápido | Reactive Forms |
| Application | Estructura de datos, sanitización | FluentValidation |
| Domain | Reglas de negocio puras | Domain Services |

## Implementación

### Frontend (UX)
```typescript
this.form = this.fb.group({
  name: ['', [Validators.required, Validators.minLength(3)]],
  email: ['', [Validators.required, Validators.email]],
});
```

### Application (Sanitización + XSS)
```csharp
RuleFor(x => x.Name)
    .NotEmpty()
    .Must(NotContainDangerousContent); // Previene XSS
```

### Domain (Negocio)
```csharp
public void ValidateEnrollment(Student student, Subject subject)
{
    if (student.Enrollments.Count >= 3)
        throw new MaxEnrollmentsExceededException();

    if (student.HasProfessor(subject.ProfessorId))
        throw new SameProfessorConstraintException();
}
```

## Consecuencias

### Positivas
- Defensa en profundidad
- Separación de responsabilidades
- UX mejorada (errores rápidos)
- Seguridad garantizada (backend siempre valida)

### Negativas
- Duplicación parcial de reglas
- Mantener sincronizadas las validaciones

## Regla de Oro

> **Nunca confíes en el frontend.** El backend SIEMPRE debe validar.

## Referencias

- [OWASP Input Validation](https://owasp.org/www-community/Input_Validation)
docs: add project documentation and env template Environment: - .env.example template with all configuration variables - Database, API, GraphQL, and frontend settings Documentation: - Architecture Decision Records (ADR-001 to ADR-004) - Deployment guide with Docker and K8s instructions - OWASP security checklist - Code review checklist - Activity plan and deliverables Architecture diagrams (PlantUML): - Use cases, domain model, sequence diagrams - Component, ER, state, and deployment diagrams - C4 context diagram 2026-01-08 04:00:56 +00:00			`# ADR-004: Estrategia de Validación en 3 Capas`

			`Estado: Aceptado`
			`Fecha: 2026-01-07`

			`## Contexto`

			`Las reglas de negocio críticas son:`
			`- Máximo 3 materias por estudiante (9 créditos)`
			`- No repetir profesor en inscripciones`
			`- Datos de entrada válidos (email, nombre)`

			`## Decisión`

			`Validar en 3 capas con responsabilidades distintas:`

			`\| Capa \| Responsabilidad \| Tecnología \|`
			`\|------\|-----------------\|------------\|`
			`\| Frontend \| UX, feedback rápido \| Reactive Forms \|`
			`\| Application \| Estructura de datos, sanitización \| FluentValidation \|`
			`\| Domain \| Reglas de negocio puras \| Domain Services \|`

			`## Implementación`

			`### Frontend (UX)`
			```typescript
			`this.form = this.fb.group({`
			`name: ['', [Validators.required, Validators.minLength(3)]],`
			`email: ['', [Validators.required, Validators.email]],`
			`});`
			```

			`### Application (Sanitización + XSS)`
			```csharp
			`RuleFor(x => x.Name)`
			`.NotEmpty()`
			`.Must(NotContainDangerousContent); // Previene XSS`
			```

			`### Domain (Negocio)`
			```csharp
			`public void ValidateEnrollment(Student student, Subject subject)`
			`{`
			`if (student.Enrollments.Count >= 3)`
			`throw new MaxEnrollmentsExceededException();`

			`if (student.HasProfessor(subject.ProfessorId))`
			`throw new SameProfessorConstraintException();`
			`}`
			```

			`## Consecuencias`

			`### Positivas`
			`- Defensa en profundidad`
			`- Separación de responsabilidades`
			`- UX mejorada (errores rápidos)`
			`- Seguridad garantizada (backend siempre valida)`

			`### Negativas`
			`- Duplicación parcial de reglas`
			`- Mantener sincronizadas las validaciones`

			`## Regla de Oro`

			`> Nunca confíes en el frontend. El backend SIEMPRE debe validar.`

			`## Referencias`

			`- [OWASP Input Validation](https://owasp.org/www-community/Input_Validation)`