docs: обновление в Troubleshooting — SHOP_ROOT + server-update

Co-authored-by: Cursor <cursoragent@cursor.com>
docs: рекомендуемое обновление через SHOP_ROOT и server-update.sh
2026-05-17 13:49:47 +03:00 · 2026-05-17 13:49:32 +03:00 · 2026-05-17 13:41:16 +03:00 · 2026-05-17 13:38:03 +03:00 · 2026-05-17 13:34:25 +03:00 · 2026-05-17 13:31:56 +03:00
40 changed files with 1986 additions and 409 deletions
@@ -4,14 +4,20 @@ NODE_ENV=production
 TRUST_PROXY=1
 SESSION_SECRET=change-me-to-a-long-random-string
-# Первый администратор (создаётся при старте, если email не занят)
+# Единственный администратор (зарегистрированный пользователь с этим email)
 # При регистрации через сайт все получают роль customer; admin — только этот аккаунт
 ADMIN_EMAIL=admin@site.com
 ADMIN_PASSWORD=admin
 ADMIN_NAME=Администратор
-# URL сайта (ссылки в письмах)
+# URL сайта (ссылки в письмах, WebAuthn origin)
 SITE_URL=http://localhost:3000
 # Passkey (WebAuthn) — по умолчанию hostname из SITE_URL
 # WEBAUTHN_RP_ID=shop.example.com
 # WEBAUTHN_RP_NAME=Shop
 # WEBAUTHN_ORIGIN=https://shop.example.com,http://localhost:3000
 # SMTP — сброс пароля и уведомления о брони
 SMTP_HOST=smtp.example.com
 SMTP_PORT=587
@@ -6,16 +6,17 @@
 Подробности релиза: [CHANGELOG.md](CHANGELOG.md) · [docs/RELEASE-0.20.md](docs/RELEASE-0.20.md)
-**Wiki (установка):** https://git.evilfox.cc/test/shop10/wiki
+**Сервер (установка, обновление, ошибки):** [wiki/Server-Operations.md](wiki/Server-Operations.md) · [wiki/Troubleshooting.md](wiki/Troubleshooting.md)
 ## Возможности
 - Каталог товаров с категориями и поиском
 - Корзина и оформление заказа
- Регистрация, вход, сброс пароля по email
+- Регистрация, вход (пароль или passkey), сброс пароля по email
 - Личный кабинет: профиль, бронирования
- Роли клиент / администратор, админ-панель
+- Роли: клиент (`customer`) и **один** администратор (`admin`) — аккаунт из `ADMIN_EMAIL` в `.env`
 - Согласие на cookies
 - Подписка «сообщить о поступлении», если товара нет в наличии
 ## Требования
@@ -100,7 +101,7 @@ apt install -y postgresql-17 postgresql-client-17
 Пользователь и база `shop`:
 ```bash
-cd /opt/shop
+cd "$SHOP_ROOT"
 bash scripts/setup-postgres-ubuntu.sh
 ```
@@ -112,34 +113,31 @@ bash scripts/setup-postgres-ubuntu.sh
 ## Быстрый развёртывание на Ubuntu
 Подставьте **URL своего репозитория** и каталог клона `SHOP_ROOT` (часто `/opt/shop`):
 ```bash
-# 1. Система + Node.js 20
+export SHOP_ROOT=/opt/shop
-apt update
+export SHOP_GIT_URL='https://ваш-forge/пользователь/shop.git'
 apt install -y git curl
 curl -fsSL https://deb.nodesource.com/setup_20.x | bash -
 apt install -y nodejs
-# 2. PostgreSQL 17
+apt update && apt install -y git curl
-apt install -y postgresql-17 postgresql-client-17
+git clone "$SHOP_GIT_URL" "$SHOP_ROOT"
-
+cd "$SHOP_ROOT"
-# 3. Код
+sudo SHOP_INSTALL_DIR="$SHOP_ROOT" SHOP_GIT_URL="$SHOP_GIT_URL" bash scripts/quick-deploy-ubuntu.sh
 cd /opt
 git clone <URL_РЕПОЗИТОРИЯ> shop
 cd shop
 # 4. БД
 bash scripts/setup-postgres-ubuntu.sh
 # 5. Окружение
 cp .env.example .env
 sed -i "s/change-me-to-a-long-random-string/$(openssl rand -hex 32)/" .env
 # Проверьте DATABASE_URL в .env
 # 6. Приложение
 npm install --omit=dev
 npm start
 ```
 **Обновление** (сайт уже работает) — **лучше так** (из любого каталога):
 ```bash
 export SHOP_ROOT=/opt/shop/shop10
 bash "$SHOP_ROOT/scripts/server-update.sh"
 ```
 `SHOP_ROOT` — путь к клону с `package.json` (у вас может быть `/opt/shop` вместо `/opt/shop/shop10`).
 Не копируйте в shell шаблоны вроде `<URL_РЕПОЗИТОРИЯ>` — это подсказки в тексте, не команды.
 Подробно: **[wiki/Server-Operations.md](wiki/Server-Operations.md)** (PostgreSQL PGDG, git, systemd, порт 3000).
 Проверка:
 ```bash
@@ -163,28 +161,31 @@ DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop
 | `DATABASE_URL` | Строка подключения PostgreSQL |
 | `PGHOST`, `PGPORT`, `PGUSER`, `PGPASSWORD`, `PGDATABASE` | Альтернатива `DATABASE_URL` |
 | `HOST` | `127.0.0.1` в production (доступ через Caddy) |
 | `ADMIN_EMAIL` | Email **единственного** администратора (создаётся/обновляется при старте) |
 | `ADMIN_PASSWORD` | Пароль администратора (только при первом создании аккаунта) |
 | `ADMIN_NAME` | Имя администратора |
 ### Роли и администратор
 - Через **регистрацию** на сайте все пользователи получают роль **клиент** (`customer`).
 - **Один** зарегистрированный пользователь — **администратор**: аккаунт с email из `ADMIN_EMAIL` (по умолчанию `admin@site.com`). При старте приложения он создаётся, если ещё нет, или ему назначается роль `admin`.
 - Админ-панель: `/admin` (кнопка в шапке и в личном кабинете — только у администратора).
 - Сменить администратора: укажите другой email в `ADMIN_EMAIL` и перезапустите shop (прежние admin-аккаунты станут клиентами).
 ---
 ## Запуск как служба (systemd)
 ```bash
-cp /opt/shop/deploy/shop.service /etc/systemd/system/shop.service
+cd "$SHOP_ROOT"
-
+cp .env.example .env   # при первой установке — SESSION_SECRET, DATABASE_URL
-cd /opt/shop
+sudo bash scripts/install-shop-service.sh
 cp .env.example .env   # при первой установке
 # Заполните SESSION_SECRET и DATABASE_URL
 npm install --omit=dev
 # Не делайте chown -R www-data на весь /opt/shop (ломает git pull)
 systemctl daemon-reload
 systemctl enable shop
 systemctl start shop
 journalctl -u shop -f
 ```
-`EnvironmentFile=/opt/shop/.env` должен содержать `DATABASE_URL`.
+Не делайте `chown -R www-data` на весь каталог репозитория (ломает `git pull`).
 `EnvironmentFile` в unit должен указывать на `$SHOP_ROOT/.env` с `DATABASE_URL`.
 ---
@@ -203,18 +204,23 @@ journalctl -u shop -n 5 --no-pager
 ## Обновление на сервере (git pull)
 См. **[wiki/Server-Operations.md](wiki/Server-Operations.md)**.
 **Рекомендуемый способ** (надёжнее, чем вручную `cd` и `git pull`):
 ```bash
-cd /opt/shop
+export SHOP_ROOT=/opt/shop/shop10
-git config --global --add safe.directory /opt/shop
+bash "$SHOP_ROOT/scripts/server-update.sh"
 bash scripts/server-update.sh
 ```
 `WorkingDirectory` в `deploy/shop.service` должен совпадать с `$SHOP_ROOT`.
 Скрипт: `git pull` → `npm install` → проверка PostgreSQL → `restart shop` → `curl /health` → `reload caddy`.
 Вручную:
 ```bash
-cd /opt/shop
+cd "$SHOP_ROOT"
 git pull
 npm install --omit=dev
 systemctl restart shop
@@ -224,50 +230,6 @@ systemctl reload caddy
 ---
 ## Переход с SQLite на PostgreSQL 17
 Если сервер уже работал на старой версии (файлы `data/*.db`):
 ```bash
 # 1. PostgreSQL
 apt install -y postgresql-17 postgresql-client-17
 systemctl start postgresql
 # 2. Код
 cd /opt/shop
 git config --global --add safe.directory /opt/shop
 git pull
 # 3. База shop
 bash scripts/setup-postgres-ubuntu.sh
 # 4. .env — обязательно DATABASE_URL
 cp -n .env.example .env
 nano .env
 # DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop
 # HOST=127.0.0.1
 # NODE_ENV=production
 # TRUST_PROXY=1
 # 5. Зависимости и перезапуск
 npm install --omit=dev
 systemctl restart shop
 # 6. Проверка
 curl -s http://127.0.0.1:3000/health
 systemctl reload caddy
 ```
 Каталог `data/` больше не используется. Демо-товары появятся при пустой таблице `products`. Аккаунты и заказы из SQLite не переносятся — нужна повторная регистрация или ручной импорт.
 Проверка PostgreSQL:
 ```bash
 psql "postgresql://shop:shop@127.0.0.1:5432/shop" -c '\dt'
 ```
 ---
 ## Caddy — SSL и reverse proxy
 **Перед Caddy:** `curl http://127.0.0.1:3000/health` → OK.
@@ -310,19 +272,17 @@ shop.example.com {
 **Быстрое исправление (одной командой):**
 ```bash
-cd /opt/shop
+bash "$SHOP_ROOT/scripts/fix-db-connection.sh"
 git pull
 bash scripts/fix-db-connection.sh
 ```
 **Вручную:**
 ```bash
-apt install -y postgresql-17 postgresql-client-17
+cd "$SHOP_ROOT"
 sudo bash scripts/install-postgresql-ubuntu.sh
 systemctl enable --now postgresql
 pg_isready -h 127.0.0.1 -p 5432
 cd /opt/shop
 bash scripts/setup-postgres-ubuntu.sh
 nano .env   # DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop
@@ -335,7 +295,7 @@ curl -s http://127.0.0.1:3000/health
 ### HTTP 502
 ```bash
-bash /opt/shop/scripts/diagnose-502.sh
+bash "$SHOP_ROOT/scripts/diagnose-502.sh"
 journalctl -u shop -n 50 --no-pager
 ```
@@ -378,6 +338,8 @@ caddy/Caddyfile.docker.example
 deploy/shop.service
 scripts/
  setup-postgres-ubuntu.sh
  install-postgresql-ubuntu.sh
  quick-deploy-ubuntu.sh
  fix-db-connection.sh
  diagnose-502.sh
  server-update.sh
@@ -387,8 +349,8 @@ src/
 ## Релиз 0.20.0
 ```bash
-git clone <URL_РЕПОЗИТОРИЯ> shop
+git clone <URL-вашего-репозитория> /opt/shop
-cd shop
+cd /opt/shop
 git checkout v0.20.0
 ```
@@ -400,6 +362,6 @@ git checkout v0.20.0
 ## Репозиторий
 ```bash
-git clone <URL_РЕПОЗИТОРИЯ> shop
+git clone <URL-вашего-репозитория> /opt/shop
-cd shop
+cd /opt/shop
 ```
@@ -1,7 +1,7 @@
 [Unit]
 Description=Shop Node.js
-After=network.target postgresql.service
+After=network.target
-Wants=postgresql.service
+Wants=network-online.target
 [Service]
 Type=simple
@@ -9,12 +9,15 @@ User=www-data
 Group=www-data
 WorkingDirectory=/opt/shop
 EnvironmentFile=/opt/shop/.env
-# Дождаться PostgreSQL (запуск от root, +)
+ExecStartPre=+/opt/shop/scripts/wait-postgres.sh
 ExecStartPre=+/bin/bash -c 'for i in $(seq 1 60); do pg_isready -h 127.0.0.1 -p 5432 -q && exit 0; sleep 1; done; echo "PostgreSQL не отвечает на 127.0.0.1:5432"; exit 1'
 ExecStart=/usr/bin/node src/server.js
 Restart=on-failure
 RestartSec=5
 # Логи в journal
 StandardOutput=journal
 StandardError=journal
 UMask=0022
 [Install]
@@ -5,7 +5,7 @@
 ## Вариант A — Docker Compose
 ```bash
-git clone <URL_РЕПОЗИТОРИЯ> shop && cd shop
+git clone https://git.evilfox.cc/test/shop10.git /opt/shop/shop10 && cd /opt/shop/shop10
 git checkout v0.10.0
 cp .env.docker.example .env
@@ -27,7 +27,7 @@ docker compose --profile proxy up -d --build
 ## Вариант B — без Docker (Ubuntu)
 ```bash
-git clone <URL_РЕПОЗИТОРИЯ> shop && cd shop
+git clone https://git.evilfox.cc/test/shop10.git /opt/shop/shop10 && cd /opt/shop/shop10
 git checkout v0.10.0
 apt install -y git curl
@@ -50,7 +50,6 @@ Caddy на хосте — см. `README.md`, раздел «Caddy».
 ## Обновление с более ранних версий
 - С **SQLite**: раздел «Переход с SQLite на PostgreSQL 17» в README
 - С **0.10-beta**: `git pull`, `npm install`, `systemctl restart shop`
 ## Тег и Release в Gitea
@@ -19,6 +19,7 @@
    "express": "^4.21.2",
    "express-session": "^1.18.1",
    "nodemailer": "^6.9.16",
-    "pg": "^8.13.1"
+    "pg": "^8.13.1",
    "@simplewebauthn/server": "^13.1.1"
  }
 }
@@ -0,0 +1,17 @@
 -- Passkey (WebAuthn) — опциональный вход вместо пароля
 ALTER TABLE users ADD COLUMN IF NOT EXISTS passkey_enabled BOOLEAN NOT NULL DEFAULT false;
 CREATE TABLE IF NOT EXISTS webauthn_credentials (
  id SERIAL PRIMARY KEY,
  user_id INTEGER NOT NULL REFERENCES users(id) ON DELETE CASCADE,
  credential_id TEXT NOT NULL UNIQUE,
  public_key BYTEA NOT NULL,
  counter BIGINT NOT NULL DEFAULT 0,
  device_type VARCHAR(32),
  backed_up BOOLEAN NOT NULL DEFAULT false,
  transports TEXT,
  label TEXT NOT NULL DEFAULT 'Passkey',
  created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
 );
 CREATE INDEX IF NOT EXISTS idx_webauthn_credentials_user_id ON webauthn_credentials(user_id);
@@ -0,0 +1,14 @@
 -- Подписка «сообщить о поступлении»
 CREATE TABLE IF NOT EXISTS product_stock_alerts (
  id SERIAL PRIMARY KEY,
  product_id INTEGER NOT NULL REFERENCES products(id) ON DELETE CASCADE,
  email TEXT NOT NULL,
  user_id INTEGER REFERENCES users(id) ON DELETE SET NULL,
  created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
  notified_at TIMESTAMPTZ,
  UNIQUE (product_id, email)
 );
 CREATE INDEX IF NOT EXISTS idx_stock_alerts_product_pending
  ON product_stock_alerts (product_id)
  WHERE notified_at IS NULL;
@@ -2,7 +2,9 @@
 # Диагностика HTTP 502 (Caddy не достучался до Node / БД)
 set -e
-echo "=== Shop / Caddy 502 diagnostic ==="
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/shop-root.sh" 2>/dev/null || SHOP_ROOT=/opt/shop
 echo "=== Shop / Caddy 502 diagnostic ($SHOP_ROOT) ==="
 echo
 echo "1. PostgreSQL"
@@ -40,11 +42,11 @@ fi
 echo
 echo "6. .env"
-if [ -f /opt/shop/.env ]; then
+if [ -f "$SHOP_ROOT/.env" ]; then
-  grep -E '^(DATABASE_URL|HOST|PORT)=' /opt/shop/.env 2>/dev/null | sed 's/=.*/=***/' || true
+  grep -E '^(DATABASE_URL|HOST|PORT)=' "$SHOP_ROOT/.env" 2>/dev/null | sed 's/=.*/=***/' || true
-  grep -E '^DATABASE_URL=' /opt/shop/.env || echo "  DATABASE_URL не задан"
+  grep -E '^DATABASE_URL=' "$SHOP_ROOT/.env" || echo "  DATABASE_URL не задан"
 else
-  echo "  /opt/shop/.env не найден"
+  echo "  $SHOP_ROOT/.env не найден"
 fi
 echo
@@ -0,0 +1,47 @@
 #!/bin/bash
 # Диагностика службы shop
 set -euo pipefail
 SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 source "$SCRIPT_DIR/shop-root.sh"
 echo "=== Диагностика shop.service ==="
 echo "SHOP_ROOT=$SHOP_ROOT"
 echo
 echo "1. Unit"
 systemctl cat shop.service 2>/dev/null | head -25 || echo "  shop.service не найден"
 echo
 echo "2. PostgreSQL"
 systemctl is-active postgresql 2>/dev/null || systemctl is-active 'postgresql@*' 2>/dev/null || echo "  postgresql: не active"
 pg_isready -q 2>/dev/null && echo "  pg_isready (socket): OK" || echo "  pg_isready (socket): FAIL"
 pg_isready -h 127.0.0.1 -p 5432 -q 2>/dev/null && echo "  pg_isready 127.0.0.1: OK" || echo "  pg_isready 127.0.0.1: FAIL"
 echo
 echo "3. .env"
 if [ -f "$SHOP_ROOT/.env" ]; then
  ls -la "$SHOP_ROOT/.env"
  grep -E '^(DATABASE_URL|HOST|PORT|NODE_ENV)=' "$SHOP_ROOT/.env" | sed 's/=.*/=***/' || true
 else
  echo "  .env не найден"
 fi
 echo
 echo "4. Порт 3000"
 ss -tlnp | grep ':3000' || echo "  порт 3000 свободен"
 echo
 echo "5. www-data доступ"
 sudo -u www-data test -r "$SHOP_ROOT/package.json" && echo "  package.json: OK" || echo "  package.json: FAIL"
 sudo -u www-data test -x "$SHOP_ROOT" && echo "  каталог: OK" || echo "  каталог: FAIL"
 echo
 echo "6. Тест Node (5 сек)"
 set +e
 timeout 8 sudo -u www-data bash -c "cd '$SHOP_ROOT' && set -a && source .env 2>/dev/null && set +a && node src/server.js" 2>&1 | head -20
 set -e
 echo
 echo "7. journalctl shop"
 journalctl -u shop -n 30 --no-pager 2>/dev/null || true
@@ -2,29 +2,30 @@
 # Быстрое исправление ECONNREFUSED 127.0.0.1:5432
 set -euo pipefail
-cd /opt/shop 2>/dev/null || cd "$(dirname "$0")/.."
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 source "$SCRIPT_DIR/shop-root.sh"
-echo "=== Исправление подключения к PostgreSQL ==="
+echo "=== Исправление подключения к PostgreSQL ($SHOP_ROOT) ==="
-if ! dpkg -l | grep -q postgresql; then
+if ! command -v psql >/dev/null; then
-  echo "Установка PostgreSQL 17..."
+  bash "$SCRIPT_DIR/install-postgresql-ubuntu.sh"
  apt update
  apt install -y postgresql-17 postgresql-client-17 || {
    echo "Если пакет не найден — см. README (репозиторий PGDG)"
    exit 1
  }
 fi
-bash scripts/setup-postgres-ubuntu.sh
+bash "$SCRIPT_DIR/setup-postgres-ubuntu.sh"
 if [ -f .env ] && ! grep -q '^DATABASE_URL=' .env; then
-  echo "DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop" >> .env
+  echo 'DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop' >> .env
  echo "Добавлен DATABASE_URL в .env"
 fi
 if [ -f deploy/shop.service ]; then
  cp -f deploy/shop.service /etc/systemd/system/shop.service
  sed -i "s|WorkingDirectory=.*|WorkingDirectory=${SHOP_ROOT}|" /etc/systemd/system/shop.service
  sed -i "s|EnvironmentFile=.*|EnvironmentFile=${SHOP_ROOT}/.env|" /etc/systemd/system/shop.service
  systemctl daemon-reload
-systemctl restart shop
+fi
 systemctl restart shop 2>/dev/null || true
 sleep 2
 if curl -sf http://127.0.0.1:3000/health; then
@@ -0,0 +1,31 @@
 #!/bin/bash
 # Освободить порт 3000 (ручной npm start / старый процесс)
 set -euo pipefail
 PORT="${1:-3000}"
 if ! command -v ss >/dev/null; then
  echo "ss не найден"
  exit 0
 fi
 if ! ss -tlnp | grep -q ":${PORT} "; then
  echo "Порт ${PORT} свободен"
  exit 0
 fi
 echo "Порт ${PORT} занят:"
 ss -tlnp | grep ":${PORT} " || true
 if command -v fuser >/dev/null; then
  echo "Останавливаем процессы на ${PORT}/tcp..."
  fuser -k "${PORT}/tcp" 2>/dev/null || true
  sleep 2
 fi
 if ss -tlnp | grep -q ":${PORT} "; then
  echo "Порт ${PORT} всё ещё занят — остановите процесс вручную"
  exit 1
 fi
 echo "Порт ${PORT} свободен"
@@ -0,0 +1,38 @@
 #!/bin/bash
 # Синхронизация с origin/main (исправляет detached HEAD)
 set -euo pipefail
 source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/shop-root.sh"
 if [ ! -d .git ]; then
  echo "Ошибка: в $SHOP_ROOT нет .git — нужен полный clone:"
  echo "  git clone <URL-репозитория> /opt/shop"
  exit 1
 fi
 git config --global --add safe.directory "$SHOP_ROOT" 2>/dev/null || true
 echo "=== git sync: $SHOP_ROOT ==="
 git fetch origin
 if git symbolic-ref -q HEAD >/dev/null 2>&1; then
  BRANCH=$(git branch --show-current)
  echo "Текущая ветка: ${BRANCH:-?}"
 else
  echo "Состояние: detached HEAD ($(git rev-parse --short HEAD))"
  BRANCH=""
 fi
 if [ "$BRANCH" != "main" ]; then
  if git show-ref --verify --quiet refs/remotes/origin/main; then
    git checkout -B main origin/main
  elif git show-ref --verify --quiet refs/heads/main; then
    git checkout main
  else
    echo "Ветка main не найдена на origin"
    exit 1
  fi
 fi
 git pull origin main
 echo "OK: $(git log -1 --oneline)"
@@ -0,0 +1,59 @@
 #!/bin/bash
 # Установка PostgreSQL 17 (PGDG) или postgresql из Ubuntu
 # sudo bash scripts/install-postgresql-ubuntu.sh
 set -euo pipefail
 if command -v psql >/dev/null; then
  echo "PostgreSQL уже установлен: $(psql --version | head -1)"
  systemctl enable postgresql 2>/dev/null || true
  systemctl start postgresql 2>/dev/null || true
  exit 0
 fi
 echo "=== Установка PostgreSQL ==="
 apt update
 apt install -y curl ca-certificates gnupg lsb-release
 if [ ! -f /etc/os-release ]; then
  echo "Ошибка: не найден /etc/os-release"
  exit 1
 fi
 # shellcheck source=/dev/null
 . /etc/os-release
 CODENAME="${VERSION_CODENAME:-}"
 if [ -z "$CODENAME" ]; then
  echo "Ошибка: не удалось определить VERSION_CODENAME (Ubuntu/Debian?)"
  exit 1
 fi
 install -d /usr/share/postgresql-common/pgdg
 curl -fsSL https://www.postgresql.org/media/keys/ACCC4CF8.asc \
  -o /usr/share/postgresql-common/pgdg/apt.postgresql.org.asc
 echo "deb [signed-by=/usr/share/postgresql-common/pgdg/apt.postgresql.org.asc] https://apt.postgresql.org/pub/repos/apt ${CODENAME}-pgdg main" \
  > /etc/apt/sources.list.d/pgdg.list
 apt update
 if apt install -y postgresql-17 postgresql-client-17; then
  echo "Установлен PostgreSQL 17 (PGDG)"
 else
  echo "Пакет postgresql-17 недоступен — устанавливаем postgresql из репозитория Ubuntu..."
  apt install -y postgresql postgresql-contrib
 fi
 systemctl enable postgresql
 systemctl start postgresql
 for i in $(seq 1 30); do
  if pg_isready -h 127.0.0.1 -p 5432 -q 2>/dev/null; then
    echo "pg_isready: OK"
    psql --version | head -1
    exit 0
  fi
  sleep 1
 done
 echo "PostgreSQL установлен, но не отвечает на 127.0.0.1:5432"
 echo "  journalctl -u postgresql -n 30 --no-pager"
 exit 1
@@ -0,0 +1,112 @@
 #!/bin/bash
 # Установка systemd-службы shop (после git clone и .env)
 # sudo bash scripts/install-shop-service.sh
 set -euo pipefail
 if [ "$(id -u)" -ne 0 ]; then
  echo "Запустите от root: sudo bash scripts/install-shop-service.sh"
  exit 1
 fi
 SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 source "$SCRIPT_DIR/shop-root.sh"
 echo "=== Установка службы shop ==="
 echo "Каталог: $SHOP_ROOT"
 if [ ! -f "$SHOP_ROOT/package.json" ]; then
  echo "Ошибка: нет package.json в $SHOP_ROOT"
  exit 1
 fi
 # .env в родительском каталоге (если переносили клон)
 PARENT_ENV="$(dirname "$SHOP_ROOT")/.env"
 if [ ! -f "$SHOP_ROOT/.env" ] && [ -f "$PARENT_ENV" ]; then
  cp "$PARENT_ENV" "$SHOP_ROOT/.env"
  echo "Скопирован .env из $(dirname "$SHOP_ROOT")"
 fi
 if [ ! -f "$SHOP_ROOT/.env" ]; then
  if [ -f "$SHOP_ROOT/.env.example" ]; then
    cp "$SHOP_ROOT/.env.example" "$SHOP_ROOT/.env"
    if command -v openssl >/dev/null; then
      sed -i "s/change-me-to-a-long-random-string/$(openssl rand -hex 32)/" "$SHOP_ROOT/.env"
    fi
    echo "Создан .env — проверьте DATABASE_URL"
  else
    echo "Ошибка: нет .env"
    exit 1
  fi
 fi
 if ! grep -q '^DATABASE_URL=' "$SHOP_ROOT/.env"; then
  echo "Добавляю DATABASE_URL по умолчанию..."
  echo 'DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop' >> "$SHOP_ROOT/.env"
 fi
 NODE_BIN=$(command -v node)
 echo "Node: $NODE_BIN ($($NODE_BIN -v))"
 chmod +x "$SHOP_ROOT/scripts/wait-postgres.sh" 2>/dev/null || true
 if command -v pg_isready >/dev/null; then
  bash "$SCRIPT_DIR/install-postgresql-ubuntu.sh" 2>/dev/null || true
  systemctl enable postgresql 2>/dev/null || true
  systemctl start postgresql 2>/dev/null || true
  bash "$SCRIPT_DIR/setup-postgres-ubuntu.sh" 2>/dev/null || true
 fi
 npm install --omit=dev --prefix "$SHOP_ROOT"
 # Доступ www-data: чтение кода и .env (systemd читает .env от root, но на всякий случай)
 chmod o+x /opt /opt/shop 2>/dev/null || true
 chmod -R a+rX "$SHOP_ROOT"
 chmod 640 "$SHOP_ROOT/.env"
 chown root:www-data "$SHOP_ROOT/.env" 2>/dev/null || chmod 644 "$SHOP_ROOT/.env"
 cp -f "$SHOP_ROOT/deploy/shop.service" /etc/systemd/system/shop.service
 sed -i "s|WorkingDirectory=.*|WorkingDirectory=${SHOP_ROOT}|" /etc/systemd/system/shop.service
 sed -i "s|EnvironmentFile=.*|EnvironmentFile=${SHOP_ROOT}/.env|" /etc/systemd/system/shop.service
 sed -i "s|ExecStartPre=.*|ExecStartPre=+${SHOP_ROOT}/scripts/wait-postgres.sh|" /etc/systemd/system/shop.service
 sed -i "s|ExecStart=.*|ExecStart=${NODE_BIN} src/server.js|" /etc/systemd/system/shop.service
 if ! sudo -u www-data test -r "$SHOP_ROOT/package.json"; then
  echo "Ошибка: www-data не читает $SHOP_ROOT"
  ls -la "$SHOP_ROOT" | head -5
  exit 1
 fi
 systemctl daemon-reload
 systemctl enable shop
 systemctl stop shop 2>/dev/null || true
 bash "$SCRIPT_DIR/free-port-3000.sh" 3000
 echo "Запуск shop..."
 if ! systemctl restart shop; then
  echo ""
  echo "=== Ошибка запуска — лог ==="
  journalctl -u shop -n 40 --no-pager
  echo ""
  bash "$SCRIPT_DIR/diagnose-shop-service.sh" || true
  exit 1
 fi
 sleep 3
 if ! systemctl is-active --quiet shop; then
  echo "shop.service не в состоянии active"
  journalctl -u shop -n 40 --no-pager
  exit 1
 fi
 if curl -sf http://127.0.0.1:3000/health; then
  echo ""
  echo "OK — служба shop запущена (systemd active)"
  systemctl status shop --no-pager | head -15
  systemctl reload caddy 2>/dev/null || true
 else
  echo "health не отвечает"
  journalctl -u shop -n 40 --no-pager
  exit 1
 fi
@@ -0,0 +1,79 @@
 #!/bin/bash
 # Быстрое развёртывание / обновление на Ubuntu (без Docker)
 # sudo bash scripts/quick-deploy-ubuntu.sh
 #
 # Каталог: SHOP_INSTALL_DIR (по умолчанию /opt/shop)
 # URL репозитория: SHOP_GIT_URL (обязателен при первом clone)
 set -euo pipefail
 INSTALL_DIR="${SHOP_INSTALL_DIR:-/opt/shop}"
 GIT_URL="${SHOP_GIT_URL:-}"
 if [ "$(id -u)" -ne 0 ]; then
  echo "Запустите от root: sudo bash scripts/quick-deploy-ubuntu.sh"
  exit 1
 fi
 echo "=== Shop: быстрое развёртывание ==="
 echo "Каталог: $INSTALL_DIR"
 if ! command -v node >/dev/null; then
  echo "Установка Node.js 20..."
  apt update
  apt install -y git curl ca-certificates
  curl -fsSL https://deb.nodesource.com/setup_20.x | bash -
  apt install -y nodejs
 fi
 if [ ! -f "$INSTALL_DIR/package.json" ]; then
  if [ -z "$GIT_URL" ]; then
    echo "Задайте URL репозитория:"
    echo "  export SHOP_GIT_URL='https://ваш-forge/user/shop.git'"
    echo "  sudo SHOP_GIT_URL=\"\$SHOP_GIT_URL\" bash scripts/quick-deploy-ubuntu.sh"
    exit 1
  fi
  echo "Клонирование: $GIT_URL -> $INSTALL_DIR"
  mkdir -p "$(dirname "$INSTALL_DIR")"
  git clone "$GIT_URL" "$INSTALL_DIR"
 fi
 export SHOP_ROOT="$INSTALL_DIR"
 cd "$INSTALL_DIR"
 git config --global --add safe.directory "$INSTALL_DIR" 2>/dev/null || true
 git pull
 bash scripts/install-postgresql-ubuntu.sh
 bash scripts/setup-postgres-ubuntu.sh
 if [ ! -f .env ]; then
  cp .env.example .env
  if command -v openssl >/dev/null; then
    SECRET=$(openssl rand -hex 32)
    sed -i "s/change-me-to-a-long-random-string/${SECRET}/" .env
  fi
  if ! grep -q '^DATABASE_URL=' .env; then
    echo 'DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop' >> .env
  fi
  echo "Создан .env — проверьте SITE_URL и SMTP"
 fi
 npm install --omit=dev
 if [ -f deploy/shop.service ]; then
  cp -f deploy/shop.service /etc/systemd/system/shop.service
  # Подставить фактический путь в unit
  sed -i "s|WorkingDirectory=.*|WorkingDirectory=${INSTALL_DIR}|" /etc/systemd/system/shop.service
  sed -i "s|EnvironmentFile=.*|EnvironmentFile=${INSTALL_DIR}/.env|" /etc/systemd/system/shop.service
  systemctl daemon-reload
  systemctl enable shop 2>/dev/null || true
  systemctl restart shop
  sleep 2
  curl -sf http://127.0.0.1:3000/health && echo && echo "OK — shop запущен (systemd)"
  systemctl reload caddy 2>/dev/null || true
 else
  echo "deploy/shop.service не найден — запустите: npm start"
 fi
 echo ""
 echo "Обновления в будущем:"
 echo "  bash ${INSTALL_DIR}/scripts/server-update.sh"
@@ -1,11 +1,24 @@
 #!/bin/bash
-# Обновление на сервере (запускать от root в /opt/shop)
+# Обновление на сервере: git pull, npm, restart shop
 #   bash "$SHOP_ROOT/scripts/server-update.sh"
 set -euo pipefail
-cd /opt/shop
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 # shellcheck source=shop-root.sh
 source "$SCRIPT_DIR/shop-root.sh"
-git config --global --add safe.directory /opt/shop 2>/dev/null || true
+echo "=== Shop update: $SHOP_ROOT ==="
-git pull
+
 if [ ! -d .git ]; then
  echo "Ошибка: $SHOP_ROOT не git-репозиторий (нет .git)."
  echo "Если нет .git — клонируйте заново:"
  echo "  export SHOP_GIT_URL='<URL-репозитория>'"
  echo "  mv \"$SHOP_ROOT\" \"\${SHOP_ROOT}.bak\""
  echo "  git clone \"\$SHOP_GIT_URL\" \"$SHOP_ROOT\""
  exit 1
 fi
 bash "$SCRIPT_DIR/git-sync.sh"
 npm install --omit=dev
@@ -21,15 +34,25 @@ if command -v pg_isready >/dev/null; then
  }
 fi
-if systemctl is-active --quiet shop 2>/dev/null; then
+if [ -f /etc/systemd/system/shop.service ]; then
  systemctl daemon-reload
  bash "$SCRIPT_DIR/free-port-3000.sh" 3000 2>/dev/null || true
  systemctl restart shop
-  sleep 1
+  sleep 2
-  curl -sf http://127.0.0.1:3000/health && echo || {
+  if curl -sf http://127.0.0.1:3000/health; then
-    echo "shop не отвечает — смотрите: journalctl -u shop -n 30"
+    echo ""
    exit 1
  }
  systemctl reload caddy 2>/dev/null || true
    echo "OK"
    systemctl reload caddy 2>/dev/null || true
  else
-  echo "Служба shop не установлена. См. deploy/shop.service в README."
+    echo "shop не отвечает — journalctl -u shop -n 30"
    exit 1
  fi
 elif [ "$(id -u)" -eq 0 ]; then
  echo "Служба shop не установлена — устанавливаем..."
  bash "$SCRIPT_DIR/install-shop-service.sh"
 else
  echo "Служба shop не установлена. Выполните от root:"
  echo "  sudo bash $SHOP_ROOT/scripts/install-shop-service.sh"
  echo "WorkingDirectory: $SHOP_ROOT"
  exit 1
 fi
@@ -1,16 +1,18 @@
 #!/bin/bash
-# PostgreSQL 17 на Ubuntu — установка службы, пользователь и БД shop
+# PostgreSQL — пользователь и БД shop (после install-postgresql-ubuntu.sh)
-# Запуск: sudo bash scripts/setup-postgres-ubuntu.sh
+# sudo bash scripts/setup-postgres-ubuntu.sh
 set -euo pipefail
 SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 SHOP_ROOT="${SHOP_ROOT:-$(cd "$SCRIPT_DIR/.." && pwd)}"
 DB_USER="${DB_USER:-shop}"
 DB_PASS="${DB_PASS:-shop}"
 DB_NAME="${DB_NAME:-shop}"
 if ! command -v psql >/dev/null; then
-  echo "PostgreSQL не установлен."
+  echo "PostgreSQL не установлен. Запустите:"
-  echo "  apt install -y postgresql-17 postgresql-client-17"
+  echo "  sudo bash $SCRIPT_DIR/install-postgresql-ubuntu.sh"
  echo "  systemctl enable --now postgresql"
  exit 1
 fi
@@ -52,7 +54,7 @@ EOF
 echo ""
 echo "PostgreSQL готов."
-echo "Добавьте в /opt/shop/.env:"
+echo "Добавьте в ${SHOP_ROOT}/.env:"
 echo "DATABASE_URL=postgresql://${DB_USER}:${DB_PASS}@127.0.0.1:5432/${DB_NAME}"
 echo ""
 echo "Проверка: psql \"postgresql://${DB_USER}:${DB_PASS}@127.0.0.1:5432/${DB_NAME}\" -c 'SELECT 1'"
@@ -0,0 +1,34 @@
 #!/bin/bash
 # Каталог репозитория (package.json + по возможности .git)
 # Переопределение: SHOP_ROOT=/opt/shop/shop10
 _resolve_shop_root() {
  local d
  for d in \
    "${SHOP_ROOT:-}" \
    "$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)" \
    "/opt/shop" \
    "/opt/shop/app"; do
    [ -z "$d" ] && continue
    [ -f "${d}/package.json" ] && [ -d "${d}/.git" ] && SHOP_ROOT="$d" && return 0
  done
  for d in \
    "${SHOP_ROOT:-}" \
    "$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)" \
    "/opt/shop" \
    "/opt/shop/app"; do
    [ -z "$d" ] && continue
    [ -f "${d}/package.json" ] && SHOP_ROOT="$d" && return 0
  done
  return 1
 }
 if ! _resolve_shop_root; then
  echo "Ошибка: не найден каталог Shop (нет package.json)."
  echo "  export SHOP_ROOT=/opt/shop   # каталог с package.json"
  echo "  git clone <URL-репозитория> \"\$SHOP_ROOT\""
  echo "  SHOP_ROOT=\$SHOP_ROOT bash scripts/server-update.sh"
  exit 1
 fi
 export SHOP_ROOT
 cd "$SHOP_ROOT"
@@ -0,0 +1,13 @@
 #!/bin/bash
 # Ожидание PostgreSQL (сокет или TCP 127.0.0.1:5432)
 for i in $(seq 1 45); do
  if pg_isready -q 2>/dev/null; then
    exit 0
  fi
  if pg_isready -h 127.0.0.1 -p 5432 -q 2>/dev/null; then
    exit 0
  fi
  sleep 1
 done
 echo "PostgreSQL недоступен (проверьте: systemctl status postgresql)"
 exit 1
@@ -281,6 +281,39 @@ a:hover {
  color: var(--muted);
 }
 .stock-notify {
  margin-top: 1.25rem;
  padding: 1.25rem;
 }
 .stock-notify__title {
  margin: 0 0 0.35rem;
  font-size: 1.05rem;
 }
 .stock-notify__hint {
  margin: 0 0 1rem;
  font-size: 0.9rem;
 }
 .stock-notify__form {
  max-width: 320px;
 }
 .stock-notify--done {
  margin-top: 1rem;
  padding: 0.75rem 1rem;
  background: rgba(0, 184, 148, 0.12);
  border-radius: 8px;
  color: var(--success);
 }
 .admin-stock-form {
  display: flex;
  align-items: center;
  gap: 0.35rem;
 }
 .product-detail__form {
  display: flex;
  flex-wrap: wrap;
@@ -392,7 +425,9 @@ a:hover {
 .auth {
  display: flex;
-  justify-content: center;
+  flex-direction: column;
  align-items: center;
  gap: 1.25rem;
  padding: 2rem 0;
 }
@@ -402,6 +437,52 @@ a:hover {
  padding: 1.75rem;
 }
 .passkey-login {
  width: 100%;
  max-width: 400px;
  padding: 1.25rem 1.75rem;
 }
 .passkey-login__title {
  margin: 0 0 0.5rem;
  font-size: 1rem;
 }
 .passkey-login__hint {
  margin: 0 0 1rem;
  font-size: 0.9rem;
 }
 .passkey-list {
  list-style: none;
  margin: 0 0 1.25rem;
  padding: 0;
 }
 .passkey-list__item {
  display: flex;
  flex-wrap: wrap;
  align-items: center;
  justify-content: space-between;
  gap: 0.5rem;
  padding: 0.65rem 0;
  border-bottom: 1px solid var(--border);
 }
 .passkey-list__item:last-child {
  border-bottom: none;
 }
 .passkey-actions {
  margin-top: 1rem;
 }
 .divider {
  border: none;
  border-top: 1px solid var(--border);
  margin: 1.5rem 0;
 }
 .alert {
  padding: 0.75rem 1rem;
  border-radius: 8px;
@@ -585,6 +666,34 @@ a:hover {
  font-weight: 600;
 }
 .btn--admin {
  background: rgba(253, 203, 110, 0.15);
  border: 1px solid var(--warn);
  color: var(--warn);
 }
 .btn--admin:hover {
  background: rgba(253, 203, 110, 0.28);
  color: #fff;
  text-decoration: none;
 }
 .account-actions {
  display: flex;
  flex-wrap: wrap;
  gap: 0.75rem;
  margin-top: 1.25rem;
 }
 .admin-hint {
  margin: 0 0 1rem;
  font-size: 0.9rem;
 }
 .admin-hint code {
  font-size: 0.85em;
 }
 .admin-header {
  margin-bottom: 1.5rem;
 }
@@ -0,0 +1,112 @@
 /**
 * WebAuthn (passkey) — требуется современный браузер с parseCreationOptionsFromJSON / toJSON.
 */
 (function () {
  function supportsPasskey() {
    return (
      window.PublicKeyCredential &&
      typeof PublicKeyCredential.parseCreationOptionsFromJSON === 'function' &&
      typeof PublicKeyCredential.parseRequestOptionsFromJSON === 'function'
    );
  }
  function showError(el, message) {
    if (!el) return;
    el.textContent = message;
    el.hidden = false;
  }
  function hideError(el) {
    if (el) el.hidden = true;
  }
  async function postJson(url, body) {
    const res = await fetch(url, {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      credentials: 'same-origin',
      body: JSON.stringify(body),
    });
    const data = await res.json().catch(() => ({}));
    if (!res.ok) {
      throw new Error(data.error || 'Ошибка запроса');
    }
    return data;
  }
  async function registerPasskey(passwordInput, errorEl, btn) {
    if (!supportsPasskey()) {
      showError(errorEl, 'Браузер не поддерживает passkey. Обновите браузер или используйте Chrome, Edge, Safari.');
      return;
    }
    const password = passwordInput?.value;
    if (!password) {
      showError(errorEl, 'Введите текущий пароль для подтверждения');
      return;
    }
    hideError(errorEl);
    if (btn) btn.disabled = true;
    try {
      const options = await postJson('/webauthn/register/options', {
        current_password: password,
      });
      const credential = await navigator.credentials.create({
        publicKey: PublicKeyCredential.parseCreationOptionsFromJSON(options),
      });
      const result = await postJson('/webauthn/register/verify', credential.toJSON());
      if (result.redirect) {
        window.location.href = result.redirect;
      } else {
        window.location.reload();
      }
    } catch (err) {
      showError(errorEl, err.message || 'Не удалось привязать passkey');
    } finally {
      if (btn) btn.disabled = false;
    }
  }
  async function loginWithPasskey(emailInput, nextInput, errorEl, btn) {
    if (!supportsPasskey()) {
      showError(errorEl, 'Браузер не поддерживает passkey');
      return;
    }
    const email = (emailInput?.value || '').trim();
    if (!email) {
      showError(errorEl, 'Сначала укажите email');
      emailInput?.focus();
      return;
    }
    hideError(errorEl);
    if (btn) btn.disabled = true;
    try {
      const options = await postJson('/webauthn/login/options', { email });
      const credential = await navigator.credentials.get({
        publicKey: PublicKeyCredential.parseRequestOptionsFromJSON(options),
      });
      const result = await postJson('/webauthn/login/verify', {
        ...credential.toJSON(),
        next: nextInput?.value || '/',
      });
      window.location.href = result.redirect || '/';
    } catch (err) {
      showError(errorEl, err.message || 'Не удалось войти по passkey');
    } finally {
      if (btn) btn.disabled = false;
    }
  }
  window.ShopPasskey = {
    supportsPasskey,
    registerPasskey,
    loginWithPasskey,
  };
 })();
@@ -4,9 +4,10 @@ const { query, formatPrice } = require('../db');
 const { getCart, cartCount } = require('../cart');
 const { requireAuth } = require('../middleware/auth');
 const { requireCookieConsent } = require('../middleware/cookieConsent');
-const { ROLE_LABELS } = require('../constants/roles');
+const { ROLES, ROLE_LABELS } = require('../constants/roles');
 const { asyncHandler } = require('../utils/asyncHandler');
 const { expireOldReservations } = require('../services/reservations');
 const webauthn = require('../services/webauthn');
 const router = express.Router();
@@ -21,7 +22,7 @@ router.use((req, res, next) => {
 async function loadAccountUser(userId) {
  const { rows } = await query(
-    'SELECT id, email, name, role, created_at FROM users WHERE id = $1',
+    'SELECT id, email, name, role, created_at, passkey_enabled FROM users WHERE id = $1',
    [userId]
  );
  return rows[0];
@@ -44,12 +45,16 @@ function accountRender(res, options) {
    success,
    activeTab,
    formatPrice,
    passkeys,
    isAdmin,
  } = options;
  res.render('account/index', {
    title: 'Личный кабинет',
    user,
    orderCount,
    reservations: reservations || [],
    passkeys: passkeys || [],
    isAdmin: Boolean(isAdmin),
    roleLabels: ROLE_LABELS,
    formatPrice: formatPrice || res.locals.formatPrice,
    error: error || null,
@@ -78,10 +83,14 @@ router.get(
      [user.id]
    );
    const passkeys = await webauthn.getCredentialsForUser(user.id);
    accountRender(res, {
      user,
      orderCount: countResult.rows[0].n,
      reservations,
      passkeys,
      isAdmin: user.role === ROLES.ADMIN,
      formatPrice,
      success: req.query.success ? decodeURIComponent(String(req.query.success)) : null,
      error: req.query.error ? decodeURIComponent(String(req.query.error)) : null,
@@ -187,4 +196,43 @@ router.post(
  })
 );
 router.post(
  '/passkey/disable',
  requireAuth,
  asyncHandler(async (req, res) => {
    const { current_password } = req.body;
    if (!(await verifyPassword(req.session.userId, current_password))) {
      return res.redirect(
        '/account?tab=passkey&error=' + encodeURIComponent('Неверный пароль')
      );
    }
    await webauthn.disablePasskeys(req.session.userId);
    res.redirect(
      '/account?tab=passkey&success=' + encodeURIComponent('Вход по passkey отключён')
    );
  })
 );
 router.post(
  '/passkey/credentials/:id/delete',
  requireAuth,
  asyncHandler(async (req, res) => {
    const { current_password } = req.body;
    if (!(await verifyPassword(req.session.userId, current_password))) {
      return res.redirect(
        '/account?tab=passkey&error=' + encodeURIComponent('Неверный пароль')
      );
    }
    const credId = parseInt(req.params.id, 10);
    if (!Number.isFinite(credId)) {
      return res.redirect('/account?tab=passkey&error=' + encodeURIComponent('Некорректный ключ'));
    }
    const ok = await webauthn.deleteCredential(req.session.userId, credId);
    if (!ok) {
      return res.redirect('/account?tab=passkey&error=' + encodeURIComponent('Ключ не найден'));
    }
    res.redirect('/account?tab=passkey&success=' + encodeURIComponent('Passkey удалён'));
  })
 );
 module.exports = router;
@@ -3,6 +3,7 @@ const { query, formatPrice } = require('../db');
 const { requireAdmin } = require('../middleware/auth');
 const { asyncHandler } = require('../utils/asyncHandler');
 const { ROLE_LABELS } = require('../constants/roles');
 const { notifyIfBackInStock } = require('../services/stock-alerts');
 const router = express.Router();
@@ -91,7 +92,9 @@ router.get(
  '/products',
  asyncHandler(async (req, res) => {
    const { rows: products } = await query(
-      `SELECT p.*, c.name AS category_name
+      `SELECT p.*, c.name AS category_name,
              (SELECT COUNT(*)::int FROM product_stock_alerts a
               WHERE a.product_id = p.id AND a.notified_at IS NULL) AS alert_count
       FROM products p
       LEFT JOIN categories c ON c.id = p.category_id
       ORDER BY p.id`
@@ -100,10 +103,38 @@ router.get(
      title: 'Товары',
      products,
      formatPrice,
      stockUpdated: req.query.stock_updated === '1',
      notified: req.query.notified ? parseInt(req.query.notified, 10) : 0,
    });
  })
 );
 router.post(
  '/products/:id/stock',
  asyncHandler(async (req, res) => {
    const productId = parseInt(req.params.id, 10);
    const stock = parseInt(req.body.stock, 10);
    if (!Number.isFinite(productId) || !Number.isFinite(stock) || stock < 0) {
      return res.redirect('/admin/products');
    }
    const { rows } = await query('SELECT stock FROM products WHERE id = $1', [productId]);
    const oldStock = rows[0]?.stock ?? 0;
    await query('UPDATE products SET stock = $1 WHERE id = $2', [stock, productId]);
    let notified = 0;
    if (oldStock <= 0 && stock > 0) {
      const result = await notifyIfBackInStock(productId);
      notified = result.sent;
    }
    const qs = new URLSearchParams({ stock_updated: '1' });
    if (notified > 0) qs.set('notified', String(notified));
    res.redirect(`/admin/products?${qs}`);
  })
 );
 router.get(
  '/reservations',
  asyncHandler(async (req, res) => {
@@ -0,0 +1,164 @@
 const express = require('express');
 const bcrypt = require('bcryptjs');
 const { query, formatPrice } = require('../db');
 const { getCart, cartCount } = require('../cart');
 const { requireAuth } = require('../middleware/auth');
 const { requireCookieConsent } = require('../middleware/cookieConsent');
 const { ROLES } = require('../constants/roles');
 const { asyncHandler } = require('../utils/asyncHandler');
 const webauthn = require('../services/webauthn');
 const router = express.Router();
 router.use((req, res, next) => {
  const cart = getCart(req);
  res.locals.cartCount = cartCount(cart);
  res.locals.formatPrice = formatPrice;
  next();
 });
 async function verifyPasswordById(userId, password) {
  const { rows } = await query('SELECT password_hash FROM users WHERE id = $1', [
    userId,
  ]);
  if (!rows[0]) return false;
  return bcrypt.compareSync(password || '', rows[0].password_hash);
 }
 async function loadUserById(userId) {
  const { rows } = await query(
    'SELECT id, email, name, role, passkey_enabled FROM users WHERE id = $1',
    [userId]
  );
  return rows[0];
 }
 function saveChallenge(req, challenge, extra = {}) {
  req.session.webauthnChallenge = challenge;
  Object.assign(req.session, extra);
 }
 function clearChallenge(req) {
  delete req.session.webauthnChallenge;
  delete req.session.webauthnLoginUserId;
 }
 function adminRedirect(user, next) {
  if (user.role === ROLES.ADMIN && (next === '/' || next === '/account')) {
    return '/admin';
  }
  return next.startsWith('/') ? next : '/';
 }
 // --- Регистрация passkey (в профиле, нужен вход) ---
 router.post(
  '/register/options',
  requireCookieConsent,
  requireAuth,
  asyncHandler(async (req, res) => {
    const { current_password } = req.body || {};
    if (!(await verifyPasswordById(req.session.userId, current_password))) {
      return res.status(401).json({ error: 'Неверный пароль' });
    }
    const user = await loadUserById(req.session.userId);
    if (!user) return res.status(404).json({ error: 'Пользователь не найден' });
    webauthn.assertOrigin(req);
    const options = await webauthn.generateRegisterOptions(user);
    saveChallenge(req, options.challenge);
    res.json(options);
  })
 );
 router.post(
  '/register/verify',
  requireCookieConsent,
  requireAuth,
  asyncHandler(async (req, res) => {
    const expectedChallenge = req.session.webauthnChallenge;
    if (!expectedChallenge) {
      return res.status(400).json({ error: 'Сессия истекла, повторите привязку' });
    }
    const user = await loadUserById(req.session.userId);
    if (!user) return res.status(404).json({ error: 'Пользователь не найден' });
    const origin = webauthn.assertOrigin(req);
    const result = await webauthn.verifyRegister(
      user,
      req.body,
      expectedChallenge,
      origin
    );
    clearChallenge(req);
    if (!result.verified) {
      return res.status(400).json({ error: 'Не удалось подтвердить passkey' });
    }
    res.json({ ok: true, redirect: '/account?tab=passkey&success=' + encodeURIComponent('Passkey привязан') });
  })
 );
 // --- Вход по passkey ---
 router.post(
  '/login/options',
  requireCookieConsent,
  asyncHandler(async (req, res) => {
    const email = (req.body?.email || '').trim().toLowerCase();
    if (!email) {
      return res.status(400).json({ error: 'Укажите email' });
    }
    const { user, options } = await webauthn.generateLoginOptions(email);
    if (!user || !options) {
      return res.status(404).json({
        error: 'Passkey не настроен для этого аккаунта',
      });
    }
    webauthn.assertOrigin(req);
    saveChallenge(req, options.challenge, { webauthnLoginUserId: user.id });
    res.json(options);
  })
 );
 router.post(
  '/login/verify',
  requireCookieConsent,
  asyncHandler(async (req, res) => {
    const expectedChallenge = req.session.webauthnChallenge;
    const userId = req.session.webauthnLoginUserId;
    if (!expectedChallenge || !userId) {
      return res.status(400).json({ error: 'Сессия истекла, начните вход заново' });
    }
    const user = await loadUserById(userId);
    if (!user || !user.passkey_enabled) {
      clearChallenge(req);
      return res.status(400).json({ error: 'Вход по passkey недоступен' });
    }
    const origin = webauthn.assertOrigin(req);
    const result = await webauthn.verifyLogin(
      user,
      req.body,
      expectedChallenge,
      origin
    );
    clearChallenge(req);
    if (!result.verified) {
      return res.status(401).json({ error: 'Не удалось войти по passkey' });
    }
    req.session.userId = user.id;
    const next = req.body?.next || '/';
    res.json({ ok: true, redirect: adminRedirect(user, next) });
  })
 );
 module.exports = router;
@@ -89,6 +89,25 @@ router.get(
    const errorMsg = req.query.error ? decodeURIComponent(String(req.query.error)) : null;
    const reserved = req.query.reserved === '1';
    const notifySuccess = req.query.notify_success
      ? decodeURIComponent(String(req.query.notify_success))
      : null;
    const notifyError = req.query.notify_error
      ? decodeURIComponent(String(req.query.notify_error))
      : null;
    let stockAlertSubscribed = false;
    let notifyEmail = res.locals.user?.email || '';
    if (product.stock <= 0) {
      const stockAlerts = require('../services/stock-alerts');
      if (notifyEmail) {
        stockAlertSubscribed = await stockAlerts.isSubscribed(
          product.id,
          notifyEmail,
          req.session.userId
        );
      }
    }
    res.render('product', {
      title: product.name,
@@ -96,6 +115,10 @@ router.get(
      userReservation,
      error: errorMsg,
      reserved,
      notifySuccess,
      notifyError,
      stockAlertSubscribed,
      notifyEmail,
    });
  })
 );
@@ -0,0 +1,75 @@
 const express = require('express');
 const { query, formatPrice } = require('../db');
 const { getCart, cartCount } = require('../cart');
 const { requireCookieConsent } = require('../middleware/cookieConsent');
 const { asyncHandler } = require('../utils/asyncHandler');
 const stockAlerts = require('../services/stock-alerts');
 const router = express.Router();
 router.use((req, res, next) => {
  const cart = getCart(req);
  res.locals.cartCount = cartCount(cart);
  res.locals.formatPrice = formatPrice;
  next();
 });
 const emailRe = /^[^\s@]+@[^\s@]+\.[^\s@]+$/;
 router.post(
  '/product/:slug/notify-stock',
  requireCookieConsent,
  asyncHandler(async (req, res) => {
    const slug = req.params.slug;
    const { rows } = await query('SELECT id, name, stock FROM products WHERE slug = $1', [
      slug,
    ]);
    const product = rows[0];
    if (!product) {
      return res.status(404).render('error', {
        title: 'Не найдено',
        message: 'Товар не найден',
        code: 404,
      });
    }
    if (product.stock > 0) {
      return res.redirect(
        `/product/${slug}?notify_error=${encodeURIComponent('Товар уже в наличии')}`
      );
    }
    let email = (req.body.email || '').trim().toLowerCase();
    if (req.session.userId) {
      const { rows: users } = await query('SELECT email FROM users WHERE id = $1', [
        req.session.userId,
      ]);
      if (users[0]) email = users[0].email;
    }
    if (!email || !emailRe.test(email)) {
      return res.redirect(
        `/product/${slug}?notify_error=${encodeURIComponent('Укажите корректный email')}`
      );
    }
    if (await stockAlerts.isSubscribed(product.id, email, req.session.userId)) {
      return res.redirect(
        `/product/${slug}?notify_success=${encodeURIComponent('Вы уже подписаны — сообщим на почту')}`
      );
    }
    await stockAlerts.subscribe({
      productId: product.id,
      email,
      userId: req.session.userId || null,
    });
    res.redirect(
      `/product/${slug}?notify_success=${encodeURIComponent('Когда товар появится, отправим письмо на ' + email)}`
    );
  })
 );
 module.exports = router;
@@ -7,6 +7,15 @@ async function seedAdmin() {
  const password = process.env.ADMIN_PASSWORD || 'admin';
  const name = process.env.ADMIN_NAME || 'Администратор';
  // Только один администратор — пользователь с ADMIN_EMAIL (остальные customer)
  const { rowCount: demoted } = await query(
    `UPDATE users SET role = $1 WHERE role = $2 AND email != $3`,
    [ROLES.CUSTOMER, ROLES.ADMIN, email]
  );
  if (demoted > 0) {
    console.log('Снята роль admin у', demoted, 'пользоват(елей) — админ только:', email);
  }
  const { rows } = await query('SELECT id, role FROM users WHERE email = $1', [email]);
  if (!rows[0]) {
@@ -16,13 +25,13 @@ async function seedAdmin() {
       VALUES ($1, $2, $3, $4)`,
      [email, hash, name, ROLES.ADMIN]
    );
-    console.log('Создан администратор:', email);
+    console.log('Создан администратор (единственный):', email);
    return;
  }
  if (rows[0].role !== ROLES.ADMIN) {
    await query('UPDATE users SET role = $1 WHERE id = $2', [ROLES.ADMIN, rows[0].id]);
-    console.log('Пользователю назначена роль admin:', email);
+    console.log('Назначен единственный администратор:', email);
  }
 }
@@ -17,6 +17,8 @@ const adminRoutes = require('./routes/admin');
 const cookiesRoutes = require('./routes/cookies');
 const passwordResetRoutes = require('./routes/password-reset');
 const reservationsRoutes = require('./routes/reservations');
 const passkeyRoutes = require('./routes/passkey');
 const stockAlertsRoutes = require('./routes/stock-alerts');
 const PORT = process.env.PORT || 3000;
 const HOST = process.env.HOST || '0.0.0.0';
@@ -40,6 +42,7 @@ async function start() {
  app.use(healthRoutes);
  app.use(express.static(path.join(__dirname, 'public')));
  app.use(express.urlencoded({ extended: true }));
  app.use(express.json({ limit: '64kb' }));
  app.use(cookieParser());
  app.use(
@@ -66,8 +69,10 @@ async function start() {
  app.use('/cookies', cookiesRoutes);
  app.use('/', passwordResetRoutes);
  app.use('/reservations', reservationsRoutes);
  app.use('/', stockAlertsRoutes);
  app.use('/', shopRoutes);
  app.use('/', authRoutes);
  app.use('/webauthn', passkeyRoutes);
  app.use('/account', accountRoutes);
  app.use('/admin', adminRoutes);
@@ -93,7 +98,13 @@ async function start() {
  });
  server.on('error', (err) => {
    if (err.code === 'EADDRINUSE') {
      console.error(
        `Порт ${PORT} уже занят (часто старый «npm start»). Выполните: bash scripts/free-port-3000.sh`
      );
    } else {
      console.error('Не удалось запустить сервер:', err.message);
    }
    process.exit(1);
  });
 }
@@ -104,8 +115,12 @@ start().catch((err) => {
    console.error('  systemctl start postgresql');
    console.error('  bash scripts/setup-postgres-ubuntu.sh');
    console.error('  Проверьте DATABASE_URL в .env');
  } else if (err.code === 'MODULE_NOT_FOUND') {
    console.error('Не найден модуль:', err.message);
    console.error('  cd', path.join(__dirname, '..'), '&& npm install --omit=dev');
  } else {
    console.error('Ошибка запуска:', err.message);
    if (err.stack) console.error(err.stack);
  }
  process.exit(1);
 });
@@ -68,10 +68,22 @@ async function sendReservationEmail(to, productName, quantity, expiresAt) {
  return sendMail({ to, subject, text, html });
 }
 async function sendStockAvailableEmail(to, productName, productUrl) {
  const subject = `Снова в наличии: ${productName}`;
  const text = `Товар «${productName}» снова в наличии.\n\nПерейти: ${productUrl}`;
  const html = `
    <p>Товар <strong>${productName}</strong> снова в наличии.</p>
    <p><a href="${productUrl}">Открыть товар в магазине</a></p>
    <p style="color:#666">Вы получили это письмо, потому что подписались на уведомление о поступлении.</p>
  `;
  return sendMail({ to, subject, text, html });
 }
 module.exports = {
  isConfigured,
  sendMail,
  sendPasswordResetEmail,
  sendReservationEmail,
  sendStockAvailableEmail,
  siteUrl,
 };
@@ -0,0 +1,74 @@
 const { query } = require('../db');
 const { sendStockAvailableEmail, siteUrl } = require('./mail');
 async function isSubscribed(productId, email, userId) {
  const normalized = email.trim().toLowerCase();
  const params = [productId, normalized];
  let sql = `SELECT 1 FROM product_stock_alerts
             WHERE product_id = $1 AND notified_at IS NULL
             AND (email = $2`;
  if (userId) {
    sql += ' OR user_id = $3';
    params.push(userId);
  }
  sql += ')';
  const { rows } = await query(sql, params);
  return rows.length > 0;
 }
 async function subscribe({ productId, email, userId }) {
  const normalized = email.trim().toLowerCase();
  await query(
    `INSERT INTO product_stock_alerts (product_id, email, user_id)
     VALUES ($1, $2, $3)
     ON CONFLICT (product_id, email) DO UPDATE SET
       user_id = COALESCE(EXCLUDED.user_id, product_stock_alerts.user_id),
       notified_at = NULL,
       created_at = CASE
         WHEN product_stock_alerts.notified_at IS NOT NULL THEN NOW()
         ELSE product_stock_alerts.created_at
       END`,
    [productId, normalized, userId || null]
  );
 }
 async function notifyIfBackInStock(productId) {
  const { rows: products } = await query(
    'SELECT id, slug, name, stock FROM products WHERE id = $1',
    [productId]
  );
  const product = products[0];
  if (!product || product.stock <= 0) return { sent: 0 };
  const { rows: alerts } = await query(
    `SELECT id, email FROM product_stock_alerts
     WHERE product_id = $1 AND notified_at IS NULL`,
    [productId]
  );
  if (!alerts.length) return { sent: 0 };
  const productUrl = `${siteUrl()}/product/${product.slug}`;
  let sent = 0;
  for (const alert of alerts) {
    try {
      await sendStockAvailableEmail(alert.email, product.name, productUrl);
      await query(
        'UPDATE product_stock_alerts SET notified_at = NOW() WHERE id = $1',
        [alert.id]
      );
      sent++;
    } catch (err) {
      console.error('stock alert email failed:', alert.email, err.message);
    }
  }
  return { sent };
 }
 module.exports = {
  isSubscribed,
  subscribe,
  notifyIfBackInStock,
 };
@@ -0,0 +1,242 @@
 const crypto = require('crypto');
 const {
  generateRegistrationOptions,
  verifyRegistrationResponse,
  generateAuthenticationOptions,
  verifyAuthenticationResponse,
 } = require('@simplewebauthn/server');
 const { isoBase64URL } = require('@simplewebauthn/server/helpers');
 const { query } = require('../db');
 function getRpId() {
  if (process.env.WEBAUTHN_RP_ID) {
    return process.env.WEBAUTHN_RP_ID.trim();
  }
  const site = process.env.SITE_URL || 'http://localhost:3000';
  try {
    return new URL(site).hostname;
  } catch {
    return 'localhost';
  }
 }
 function getRpName() {
  return process.env.WEBAUTHN_RP_NAME || 'Shop';
 }
 function getOrigins() {
  const list = [];
  if (process.env.SITE_URL) list.push(process.env.SITE_URL.replace(/\/$/, ''));
  if (process.env.WEBAUTHN_ORIGIN) {
    process.env.WEBAUTHN_ORIGIN.split(',').forEach((o) => {
      const t = o.trim().replace(/\/$/, '');
      if (t) list.push(t);
    });
  }
  if (!list.length) list.push('http://localhost:3000');
  const expanded = [...list];
  for (const o of list) {
    if (o.includes('localhost')) {
      expanded.push(o.replace('localhost', '127.0.0.1'));
    }
  }
  return [...new Set(expanded)];
 }
 function getOriginFromRequest(req) {
  const proto = req.get('x-forwarded-proto') || req.protocol;
  const host = req.get('x-forwarded-host') || req.get('host');
  return `${proto}://${host}`.replace(/\/$/, '');
 }
 function assertOrigin(req) {
  const origin = getOriginFromRequest(req);
  const allowed = getOrigins();
  if (!allowed.includes(origin)) {
    const err = new Error('Недопустимый origin для WebAuthn');
    err.status = 400;
    throw err;
  }
  return origin;
 }
 function userIdToBuffer(userId) {
  const buf = Buffer.alloc(8);
  buf.writeBigUInt64BE(BigInt(userId), 0);
  return new Uint8Array(buf);
 }
 async function getCredentialsForUser(userId) {
  const { rows } = await query(
    `SELECT id, credential_id, public_key, counter, device_type, backed_up, transports, label, created_at
     FROM webauthn_credentials WHERE user_id = $1 ORDER BY created_at`,
    [userId]
  );
  return rows;
 }
 function rowToAuthenticator(row) {
  return {
    id: row.credential_id,
    publicKey: row.public_key,
    counter: Number(row.counter),
    transports: row.transports ? row.transports.split(',') : undefined,
  };
 }
 async function generateRegisterOptions(user, excludeIds = []) {
  const credentials = await getCredentialsForUser(user.id);
  return generateRegistrationOptions({
    rpName: getRpName(),
    rpID: getRpId(),
    userName: user.email,
    userDisplayName: user.name,
    userID: userIdToBuffer(user.id),
    attestationType: 'none',
    excludeCredentials: credentials.map((c) => ({
      id: c.credential_id,
      transports: c.transports ? c.transports.split(',') : undefined,
    })),
    authenticatorSelection: {
      residentKey: 'preferred',
      userVerification: 'preferred',
    },
  });
 }
 async function verifyRegister(user, response, expectedChallenge, expectedOrigin) {
  const verification = await verifyRegistrationResponse({
    response,
    expectedChallenge,
    expectedOrigin,
    expectedRPID: getRpId(),
    requireUserVerification: false,
  });
  if (!verification.verified || !verification.registrationInfo) {
    return { verified: false };
  }
  const { credential, credentialDeviceType, credentialBackedUp } =
    verification.registrationInfo;
  const credentialId =
    typeof credential.id === 'string'
      ? credential.id
      : isoBase64URL.fromBuffer(credential.id);
  const label =
    credentialDeviceType === 'singleDevice' ? 'Это устройство' : 'Passkey';
  await query(
    `INSERT INTO webauthn_credentials
       (user_id, credential_id, public_key, counter, device_type, backed_up, transports, label)
     VALUES ($1, $2, $3, $4, $5, $6, $7, $8)`,
    [
      user.id,
      credentialId,
      Buffer.from(credential.publicKey),
      credential.counter,
      credentialDeviceType,
      credentialBackedUp,
      credential.transports?.join(',') || null,
      label,
    ]
  );
  await query('UPDATE users SET passkey_enabled = true WHERE id = $1', [user.id]);
  return { verified: true };
 }
 async function generateLoginOptions(email) {
  const { rows } = await query(
    `SELECT id, email, name, passkey_enabled FROM users WHERE email = $1`,
    [email.trim().toLowerCase()]
  );
  const user = rows[0];
  if (!user || !user.passkey_enabled) {
    return { user: null, options: null };
  }
  const credentials = await getCredentialsForUser(user.id);
  if (!credentials.length) {
    return { user: null, options: null };
  }
  const options = await generateAuthenticationOptions({
    rpID: getRpId(),
    allowCredentials: credentials.map((c) => ({
      id: c.credential_id,
      transports: c.transports ? c.transports.split(',') : undefined,
    })),
    userVerification: 'preferred',
  });
  return { user, options };
 }
 async function verifyLogin(user, response, expectedChallenge, expectedOrigin) {
  const credentialId = response.id;
  const { rows } = await query(
    `SELECT * FROM webauthn_credentials WHERE user_id = $1 AND credential_id = $2`,
    [user.id, credentialId]
  );
  const row = rows[0];
  if (!row) {
    return { verified: false };
  }
  const verification = await verifyAuthenticationResponse({
    response,
    expectedChallenge,
    expectedOrigin,
    expectedRPID: getRpId(),
    credential: rowToAuthenticator(row),
    requireUserVerification: false,
  });
  if (!verification.verified) {
    return { verified: false };
  }
  const { newCounter } = verification.authenticationInfo;
  await query('UPDATE webauthn_credentials SET counter = $1 WHERE id = $2', [
    newCounter,
    row.id,
  ]);
  return { verified: true };
 }
 async function disablePasskeys(userId) {
  await query('DELETE FROM webauthn_credentials WHERE user_id = $1', [userId]);
  await query('UPDATE users SET passkey_enabled = false WHERE id = $1', [userId]);
 }
 async function deleteCredential(userId, credentialDbId) {
  const { rowCount } = await query(
    'DELETE FROM webauthn_credentials WHERE id = $1 AND user_id = $2',
    [credentialDbId, userId]
  );
  const remaining = await query(
    'SELECT COUNT(*)::int AS n FROM webauthn_credentials WHERE user_id = $1',
    [userId]
  );
  if (remaining.rows[0].n === 0) {
    await query('UPDATE users SET passkey_enabled = false WHERE id = $1', [userId]);
  }
  return rowCount > 0;
 }
 module.exports = {
  getRpId,
  getOrigins,
  assertOrigin,
  getCredentialsForUser,
  generateRegisterOptions,
  verifyRegister,
  generateLoginOptions,
  verifyLogin,
  disablePasskeys,
  deleteCredential,
 };
@@ -10,6 +10,7 @@
    <a href="/account?tab=profile" class="account-tabs__link <%= activeTab === 'profile' ? 'account-tabs__link--active' : '' %>">Профиль</a>
    <a href="/account?tab=email" class="account-tabs__link <%= activeTab === 'email' ? 'account-tabs__link--active' : '' %>">Смена email</a>
    <a href="/account?tab=password" class="account-tabs__link <%= activeTab === 'password' ? 'account-tabs__link--active' : '' %>">Смена пароля</a>
    <a href="/account?tab=passkey" class="account-tabs__link <%= activeTab === 'passkey' ? 'account-tabs__link--active' : '' %>">Passkey</a>
    <a href="/account?tab=reservations" class="account-tabs__link <%= activeTab === 'reservations' ? 'account-tabs__link--active' : '' %>">Бронирования</a>
  </nav>
@@ -29,7 +30,12 @@
          <dt>Заказов</dt>
          <dd><%= orderCount %></dd>
        </dl>
        <div class="account-actions">
          <a href="/orders" class="btn btn--primary">Мои заказы</a>
          <% if (isAdmin) { %>
            <a href="/admin" class="btn btn--admin">Админ-панель</a>
          <% } %>
        </div>
      </section>
      <section class="card account-section">
@@ -102,6 +108,68 @@
    </section>
  <% } %>
  <% if (activeTab === 'passkey') { %>
    <section class="card account-section account-section--narrow">
      <h2>Вход по passkey</h2>
      <p class="muted">
        Passkey — вход по отпечатку, Face ID или PIN устройства. Пароль остаётся доступен.
        Включение необязательно: привяжите ключ, когда будете готовы.
      </p>
      <% if (user.passkey_enabled) { %>
        <p class="alert alert--success" style="margin-bottom:1rem">Passkey включён</p>
      <% } else { %>
        <p class="muted" style="margin-bottom:1rem">Passkey не настроен</p>
      <% } %>
      <% if (passkeys.length) { %>
        <ul class="passkey-list">
          <% passkeys.forEach(pk => { %>
            <li class="passkey-list__item">
              <span><strong><%= pk.label %></strong> · с <%= new Date(pk.created_at).toLocaleDateString('ru-RU') %></span>
              <form action="/account/passkey/credentials/<%= pk.id %>/delete" method="post" class="inline-form">
                <input type="password" name="current_password" class="input input--sm" placeholder="Пароль" required autocomplete="current-password" aria-label="Пароль для удаления">
                <button type="submit" class="btn btn--ghost btn--sm">Удалить</button>
              </form>
            </li>
          <% }) %>
        </ul>
      <% } %>
      <div class="passkey-actions">
        <p id="passkey-register-error" class="alert alert--error" hidden></p>
        <label class="label">
          Текущий пароль (для привязки нового ключа)
          <input type="password" id="passkey-register-password" class="input" autocomplete="current-password">
        </label>
        <button type="button" id="passkey-register-btn" class="btn btn--primary">Привязать passkey</button>
      </div>
      <% if (user.passkey_enabled) { %>
        <hr class="divider">
        <h3>Отключить passkey</h3>
        <p class="muted">Все привязанные ключи будут удалены. Вход только по паролю.</p>
        <form action="/account/passkey/disable" method="post" class="form">
          <label class="label">
            Текущий пароль
            <input type="password" name="current_password" class="input" required autocomplete="current-password">
          </label>
          <button type="submit" class="btn btn--ghost">Отключить passkey</button>
        </form>
      <% } %>
    </section>
    <script src="/js/passkey.js"></script>
    <script>
      document.getElementById('passkey-register-btn')?.addEventListener('click', function () {
        ShopPasskey.registerPasskey(
          document.getElementById('passkey-register-password'),
          document.getElementById('passkey-register-error'),
          this
        );
      });
    </script>
  <% } %>
  <% if (activeTab === 'password') { %>
    <section class="card account-section account-section--narrow">
      <h2>Смена пароля</h2>
@@ -12,6 +12,12 @@
  </nav>
 </div>
 <% if (stockUpdated) { %>
  <p class="alert alert--success">
    Остаток обновлён.<% if (notified > 0) { %> Отправлено уведомлений подписчикам: <%= notified %>.<% } %>
  </p>
 <% } %>
 <table class="cart-table">
  <thead>
    <tr>
@@ -20,6 +26,7 @@
      <th>Категория</th>
      <th>Цена</th>
      <th>Остаток</th>
      <th>Подписки</th>
      <th></th>
    </tr>
  </thead>
@@ -30,7 +37,19 @@
        <td><%= p.name %></td>
        <td><%= p.category_name || '—' %></td>
        <td><%= formatPrice(p.price_cents) %></td>
-        <td><%= p.stock %></td>
+        <td>
          <form action="/admin/products/<%= p.id %>/stock" method="post" class="inline-form admin-stock-form">
            <input type="number" name="stock" class="input input--sm" min="0" value="<%= p.stock %>" aria-label="Остаток">
            <button type="submit" class="btn btn--ghost btn--sm">OK</button>
          </form>
        </td>
        <td>
          <% if (p.alert_count > 0) { %>
            <span class="badge" title="Ждут уведомления"><%= p.alert_count %></span>
          <% } else { %>
            —
          <% } %>
        </td>
        <td><a href="/product/<%= p.slug %>">На сайте</a></td>
      </tr>
    <% }) %>
@@ -12,6 +12,11 @@
  </nav>
 </div>
 <p class="muted admin-hint">
  Один администратор — зарегистрированный пользователь с email из <code>ADMIN_EMAIL</code> в <code>.env</code>.
  Остальные при регистрации получают роль «Клиент».
 </p>
 <table class="cart-table">
  <thead>
    <tr>
@@ -4,21 +4,40 @@
  <form action="/login" method="post" class="form card">
    <h1>Вход</h1>
    <% if (error) { %><p class="alert alert--error"><%= error %></p><% } %>
-    <input type="hidden" name="next" value="<%= next %>">
+    <input type="hidden" name="next" id="login-next" value="<%= next %>">
    <label class="label">
      Email
-      <input type="email" name="email" class="input" required value="<%= values.email || '' %>">
+      <input type="email" name="email" id="login-email" class="input" required value="<%= values.email || '' %>">
    </label>
    <label class="label">
      Пароль
-      <input type="password" name="password" class="input" required>
+      <input type="password" name="password" class="input" required autocomplete="current-password">
    </label>
-    <button type="submit" class="btn btn--primary btn--block">Войти</button>
+    <button type="submit" class="btn btn--primary btn--block">Войти по паролю</button>
    <p class="form-footer">
      <a href="/forgot-password">Забыли пароль?</a><br>
      Нет аккаунта? <a href="/register">Регистрация</a>
    </p>
  </form>
  <div class="card passkey-login">
    <h2 class="passkey-login__title">Или passkey</h2>
    <p class="muted passkey-login__hint">Если в профиле включён passkey — войдите без пароля (нужен тот же email).</p>
    <p id="passkey-login-error" class="alert alert--error" hidden></p>
    <button type="button" id="passkey-login-btn" class="btn btn--ghost btn--block">Войти с passkey</button>
  </div>
 </div>
 <script src="/js/passkey.js"></script>
 <script>
  document.getElementById('passkey-login-btn')?.addEventListener('click', function () {
    ShopPasskey.loginWithPasskey(
      document.getElementById('login-email'),
      document.getElementById('login-next'),
      document.getElementById('passkey-login-error'),
      this
    );
  });
 </script>
 <%- include('partials/layout-end') %>
@@ -18,6 +18,8 @@
    <p class="product-detail__stock">В наличии: <strong><%= product.stock %></strong> шт.</p>
    <% if (error) { %><p class="alert alert--error"><%= error %></p><% } %>
    <% if (notifySuccess) { %><p class="alert alert--success"><%= notifySuccess %></p><% } %>
    <% if (notifyError) { %><p class="alert alert--error"><%= notifyError %></p><% } %>
    <% if (reserved) { %><p class="alert alert--success">Товар успешно забронирован. Подробности на почте и в личном кабинете.</p><% } %>
    <% if (userReservation) { %>
      <p class="alert alert--success">
@@ -52,6 +54,31 @@
      <% } %>
    <% } else { %>
      <p class="alert alert--warn">Нет в наличии</p>
      <% if (typeof cookieConsent !== 'undefined' && !cookieConsent) { %>
        <p class="muted">Примите cookies, чтобы подписаться на уведомление о поступлении.</p>
      <% } else if (stockAlertSubscribed) { %>
        <p class="stock-notify stock-notify--done">
          Вы подписаны на уведомление<% if (notifyEmail) { %> — письмо придёт на <strong><%= notifyEmail %></strong><% } %>.
        </p>
      <% } else { %>
        <section class="stock-notify card">
          <h2 class="stock-notify__title">Сообщить о поступлении</h2>
          <p class="muted stock-notify__hint">Будьте среди первых, кто узнает, когда товар снова появится в наличии.</p>
          <form action="/product/<%= product.slug %>/notify-stock" method="post" class="form stock-notify__form">
            <% if (user && notifyEmail) { %>
              <p class="muted">Уведомление отправим на <strong><%= notifyEmail %></strong></p>
              <input type="hidden" name="email" value="<%= notifyEmail %>">
            <% } else { %>
              <label class="label">
                Email
                <input type="email" name="email" class="input" required autocomplete="email" placeholder="you@example.com" value="<%= notifyEmail || '' %>">
              </label>
            <% } %>
            <button type="submit" class="btn btn--primary">Подписаться</button>
          </form>
        </section>
      <% } %>
    <% } %>
    <a href="/" class="link-back">← Назад в каталог</a>
  </div>
@@ -1,4 +1,4 @@
-# Shop — документация v0.10.0
+# Shop — документация
 Интернет-магазин на **Node.js** и **PostgreSQL 17**.
@@ -7,7 +7,8 @@
 | Способ | Когда использовать |
 |--------|-------------------|
 | **[Установка через Docker](Install-Docker)** | Быстрый старт, тест, изолированное окружение |
-| **[Установка без Docker](Install-Native)** | Production на Ubuntu, systemd, свой Caddy |
+| **[Установка без Docker](Install-Native)** | Production на Ubuntu, systemd, Caddy |
 | **[Сервер: установка и обновление](Server-Operations)** | Обновления, systemd, типичные ошибки |
 ## Требования
@@ -15,27 +16,49 @@
 **Без Docker:** Ubuntu 22.04 / 24.04, Node.js 20, PostgreSQL 17.
 ## Роли
 | Роль | Кто |
 |------|-----|
 | **customer** | Все, кто регистрируется через сайт |
 | **admin** | **Один** пользователь — email из `ADMIN_EMAIL` в `.env` (по умолчанию `admin@site.com` / пароль `admin`) |
 Админ-панель доступна только этому аккаунту.
 ## Быстрый старт
-### Docker (3 команды)
+### Docker
 ```bash
-git clone https://git.evilfox.cc/test/shop10.git && cd shop10
+git clone <URL-вашего-репозитория> shop
-git checkout v0.10.0
+cd shop
-cp .env.docker.example .env && docker compose up -d --build
+cp .env.docker.example .env
 docker compose up -d --build
 ```
 Сайт: http://localhost:3000
-### Без Docker
+### Без Docker (сервер)
 ```bash
-git clone https://git.evilfox.cc/test/shop10.git && cd shop10
+export SHOP_ROOT=/opt/shop
-git checkout v0.10.0
+export GIT_REPO_URL='<URL-вашего-репозитория>'
-# см. Install-Native
+
 git clone "$GIT_REPO_URL" "$SHOP_ROOT"
 cd "$SHOP_ROOT"
 sudo bash scripts/quick-deploy-ubuntu.sh
 ```
-## Проверка работы
+Обновление (рекомендуется):
 ```bash
 export SHOP_ROOT=/opt/shop/shop10
 bash "$SHOP_ROOT/scripts/server-update.sh"
 ```
 Путь `SHOP_ROOT` — ваш каталог клона (см. [Server-Operations](Server-Operations)).
 ## Проверка
 ```bash
 curl -s http://127.0.0.1:3000/health
@@ -45,6 +68,5 @@ curl -s http://127.0.0.1:3000/health
 ## Ссылки
 - [Репозиторий](https://git.evilfox.cc/test/shop10)
 - [Releases](https://git.evilfox.cc/test/shop10/releases)
 - [Решение проблем](Troubleshooting)
 - [Сервер: установка и обновление](Server-Operations)
@@ -1,244 +1,106 @@
 # Установка без Docker (Ubuntu)
-Production-развёртывание на **Ubuntu 22.04 / 24.04**: Node.js 20, PostgreSQL 17, systemd, опционально Caddy.
+Production: Node.js 20, PostgreSQL 17, systemd, опционально Caddy.
 **Полное руководство по ошибкам и обновлениям:** [Server-Operations](Server-Operations).
 Задайте каталог клона:
 ```bash
 export SHOP_ROOT=/opt/shop
 ```
 ---
 ## 1. Требования
- Сервер Ubuntu 22.04 или 24.04 (root или sudo)
+- Ubuntu 22.04 или 24.04
- Минимум 1 GB RAM, 10 GB диск
+- Порты 22, 80, 443 (для Caddy)
- Открыты порты **22**, **80**, **443** (если используете Caddy)
+- Порт 3000 только localhost
 - Порт **3000** наружу не открывать — только localhost
-## 2. Установка системных пакетов
+## 2. Системные пакеты
-```bash
+### Node.js 20
 apt update
 apt install -y git curl ca-certificates
 ```
 ### Node.js 20 LTS
 ```bash
 curl -fsSL https://deb.nodesource.com/setup_20.x | bash -
-apt install -y nodejs
+apt install -y nodejs git curl
 node -v   # v20.x
 ```
 ### PostgreSQL 17
 Не используйте `apt install postgresql-17` без PGDG:
 ```bash
-apt install -y postgresql-17 postgresql-client-17
+sudo bash "$SHOP_ROOT/scripts/install-postgresql-ubuntu.sh"
 systemctl enable postgresql
 systemctl start postgresql
 pg_isready -h 127.0.0.1 -p 5432
 ```
-Если пакет `postgresql-17` не найден — [репозиторий PGDG](https://www.postgresql.org/download/linux/ubuntu/):
+## 3. Клонирование
 ```bash
-apt install -y curl ca-certificates
+export GIT_REPO_URL='<URL-вашего-репозитория>'
-install -d /usr/share/postgresql-common/pgdg
+git clone "$GIT_REPO_URL" "$SHOP_ROOT"
-curl -o /usr/share/postgresql-common/pgdg/apt.postgresql.org.asc --fail \
+cd "$SHOP_ROOT"
  https://www.postgresql.org/media/keys/ACCC4CF8.asc
 sh -c 'echo "deb [signed-by=/usr/share/postgresql-common/pgdg/apt.postgresql.org.asc] https://apt.postgresql.org/pub/repos/apt $(. /etc/os-release && echo ${VERSION_CODENAME}-pgdg) main" > /etc/apt/sources.list.d/pgdg.list'
 apt update
 apt install -y postgresql-17 postgresql-client-17
 ```
-## 3. Клонирование проекта
+Или: `sudo SHOP_GIT_URL="$GIT_REPO_URL" bash scripts/quick-deploy-ubuntu.sh`
 ## 4. База данных
 ```bash
-cd /opt
+cd "$SHOP_ROOT"
 git clone https://git.evilfox.cc/test/shop10.git shop
 cd shop
 git checkout v0.10.0
 ```
 ## 4. База данных PostgreSQL
 ```bash
 cd /opt/shop
 bash scripts/setup-postgres-ubuntu.sh
 ```
-Скрипт:
+## 5. `.env`
 - запускает PostgreSQL;
 - создаёт пользователя и БД `shop` (по умолчанию пароль `shop` — **смените в production**);
 - выводит строку `DATABASE_URL`.
 Проверка:
 ```bash
 psql "postgresql://shop:shop@127.0.0.1:5432/shop" -c "SELECT 1"
 ```
 ## 5. Файл окружения `.env`
 ```bash
 cp .env.example .env
 nano .env
 ```
-Обязательные параметры:
+`SESSION_SECRET`, `DATABASE_URL`, `SITE_URL` (ваш публичный URL без привязки к конкретному домену в коде).
-```env
+## 6. Зависимости
 PORT=3000
 HOST=127.0.0.1
 NODE_ENV=production
 TRUST_PROXY=1
 SESSION_SECRET=сгенерируйте_длинную_строку
 DATABASE_URL=postgresql://shop:ВАШ_ПАРОЛЬ@127.0.0.1:5432/shop
 ```
 Секрет сессии:
 ```bash
 openssl rand -hex 32
 ```
 `HOST=127.0.0.1` — приложение доступно только локально; снаружи — через Caddy.
 ## 6. Установка зависимостей Node.js
 ```bash
 cd /opt/shop
 npm install --omit=dev
 ```
-При первом запуске приложение создаст таблицы и демо-товары (если каталог пуст).
+## 7. systemd
 ## 7. Служба systemd
 ```bash
-cp /opt/shop/deploy/shop.service /etc/systemd/system/shop.service
+sudo bash scripts/install-shop-service.sh
 systemctl daemon-reload
 systemctl enable shop
 systemctl start shop
 systemctl status shop
 ```
-Unit ждёт PostgreSQL (`ExecStartPre` + `pg_isready`) и запускает Node от пользователя `www-data`.
+`WorkingDirectory` в unit = `$SHOP_ROOT`. Не делайте `chown -R www-data` на весь репозиторий.
-**Важно:** не выполняйте `chown -R www-data /opt/shop` — это ломает `git pull`. Права на запись нужны только для каталога `data/` (если используется); с PostgreSQL каталог `data/` не обязателен.
+## 8. Caddy
-Логи:
+После `curl http://127.0.0.1:3000/health` → OK:
 ```bash
-journalctl -u shop -f
+cp "$SHOP_ROOT/caddy/Caddyfile.example" /etc/caddy/Caddyfile
-```
+# укажите ваш домен в Caddyfile
 ## 8. Проверка backend
 ```bash
 curl -s http://127.0.0.1:3000/health
 ss -tlnp | grep 3000
 ```
 В логах должно быть: `Магазин: http://127.0.0.1:3000 (PostgreSQL)`
 ## 9. Caddy — HTTPS и reverse proxy
 Установка Caddy:
 ```bash
 apt install -y debian-keyring debian-archive-keyring apt-transport-https
 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' \
  | gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
 curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' \
  | tee /etc/apt/sources.list.d/caddy-stable.list
 apt update && apt install -y caddy
 ```
 Конфигурация:
 ```bash
 cp /opt/shop/caddy/Caddyfile.example /etc/caddy/Caddyfile
 nano /etc/caddy/Caddyfile
 ```
 Пример (замените домен и email):
 ```caddyfile
 {
 	email admin@example.com
 }
 shop.example.com {
 	encode gzip zstd
 	reverse_proxy 127.0.0.1:3000
 }
 ```
 ```bash
 caddy validate --config /etc/caddy/Caddyfile
 systemctl enable caddy
 systemctl reload caddy
 ```
-Файрвол:
+## 9. Обновление
 ```bash
-ufw allow 22/tcp
+bash "$SHOP_ROOT/scripts/server-update.sh"
 ufw allow 80/tcp
 ufw allow 443/tcp
 ufw enable
 ```
-Зависимость Caddy от shop (опционально):
+## 10. Архитектура
 ```bash
 mkdir -p /etc/systemd/system/caddy.service.d
 cp /opt/shop/deploy/caddy-after-shop.conf /etc/systemd/system/caddy.service.d/shop.conf
 systemctl daemon-reload
 ```
 ## 10. Обновление
 ```bash
 cd /opt/shop
 git config --global --add safe.directory /opt/shop
 bash scripts/server-update.sh
 ```
 Или вручную:
 ```bash
 git pull
 npm install --omit=dev
 systemctl restart shop
 curl -s http://127.0.0.1:3000/health
 systemctl reload caddy
 ```
 ## 11. Переход с SQLite (старая версия)
 1. Установите PostgreSQL (шаги 2–4)
 2. Добавьте `DATABASE_URL` в `.env`
 3. `git pull` → `npm install` → `systemctl restart shop`
 4. Демо-товары появятся автоматически; пользователей нужно зарегистрировать заново
 Быстрое исправление подключения к БД:
 ```bash
 bash /opt/shop/scripts/fix-db-connection.sh
 ```
 ## 12. Архитектура
 ```
-Интернет → Caddy :443 → 127.0.0.1:3000 (Node.js shop)
+Интернет → Caddy :443 → 127.0.0.1:3000 (Node.js)
                              ↓
                    PostgreSQL 127.0.0.1:5432
 ```
-## 13. Резервное копирование БД
+## 11. Резервное копирование
 ```bash
 sudo -u postgres pg_dump shop > shop_backup_$(date +%F).sql
 ```
 Восстановление:
 ```bash
 sudo -u postgres psql shop < shop_backup_2026-05-17.sql
 ```
@@ -0,0 +1,197 @@
 # Сервер: установка и обновление
 Инструкция **без привязки к конкретному домену или хостингу**. Подставьте свои значения:
 | Переменная | Что это | Пример |
 |------------|---------|--------|
 | `SHOP_ROOT` | Каталог клона, где лежат `package.json` и `scripts/` | `/opt/shop` |
 | `GIT_REPO_URL` | URL вашего git-репозитория | `https://forge.example.com/user/shop.git` |
 | `SITE_URL` | Публичный URL магазина (для писем и passkey) | `https://shop.example.com` |
 Проверка каталога:
 ```bash
 export SHOP_ROOT=/opt/shop
 test -f "$SHOP_ROOT/package.json" && echo OK || echo "Неверный SHOP_ROOT"
 ```
 ---
 ## Первая установка (Ubuntu, без Docker)
 ```bash
 export SHOP_ROOT=/opt/shop
 export GIT_REPO_URL='https://ВАШ-FORGE/путь/к/shop.git'
 apt update && apt install -y git curl
 git clone "$GIT_REPO_URL" "$SHOP_ROOT"
 cd "$SHOP_ROOT"
 sudo SHOP_INSTALL_DIR="$SHOP_ROOT" SHOP_GIT_URL="$GIT_REPO_URL" \
  bash scripts/quick-deploy-ubuntu.sh
 ```
 Скрипт: Node.js (если нет), PostgreSQL (PGDG), `.env`, `npm install`, служба **shop** (systemd).
 ---
 ## Обновление кода (сайт уже работает)
 **Рекомендуется** — две команды (можно из любого каталога, не нужен `cd`):
 ```bash
 export SHOP_ROOT=/opt/shop/shop10
 bash "$SHOP_ROOT/scripts/server-update.sh"
 ```
 Подставьте свой путь к клону (где лежит `package.json`). Часто это `/opt/shop` или `/opt/shop/shop10`.
 Почему так надёжнее, чем `cd /opt/shop && git pull`:
 - явно задан каталог репозитория (`SHOP_ROOT`);
 - внутри выполняются `git-sync` (ветка `main`), `npm install`, перезапуск `shop`, проверка `/health`;
 - не перепутаете родительскую папку без `package.json` и скриптов.
 Проверка после обновления:
 ```bash
 systemctl status shop
 curl -s http://127.0.0.1:3000/health
 ```
 Если git в detached HEAD отдельно:
 ```bash
 cd "$SHOP_ROOT"
 bash scripts/git-sync.sh
 bash scripts/server-update.sh
 ```
 ---
 ## Скрипты в `scripts/`
 | Скрипт | Назначение |
 |--------|------------|
 | `quick-deploy-ubuntu.sh` | Первая установка / полный цикл |
 | `server-update.sh` | `git pull`, `npm install`, перезапуск shop |
 | `git-sync.sh` | Исправить detached HEAD, синхронизация с `main` |
 | `install-postgresql-ubuntu.sh` | PostgreSQL 17 через PGDG |
 | `setup-postgres-ubuntu.sh` | Пользователь и БД `shop` |
 | `install-shop-service.sh` | Установка systemd unit |
 | `free-port-3000.sh` | Освободить порт (старый `npm start`) |
 | `fix-db-connection.sh` | ECONNREFUSED :5432 |
 | `diagnose-502.sh` | HTTP 502, Caddy |
 | `diagnose-shop-service.sh` | Падение shop.service |
 Все скрипты сами ищут `SHOP_ROOT` (каталог, откуда вызван `scripts/`, или переменная окружения).
 ---
 ## Частые ошибки
 ### `Unable to locate package postgresql-17`
 В стандартном Ubuntu нет пакета 17. Не копируйте `apt install postgresql-17` из старых заметок.
 ```bash
 sudo bash "$SHOP_ROOT/scripts/install-postgresql-ubuntu.sh"
 bash "$SHOP_ROOT/scripts/setup-postgres-ubuntu.sh"
 ```
 ### `URL_РЕПОЗИТОРИЯ: No such file` или placeholder в команде
 В документации иногда указан **шаблон**, а не команда. Клонируйте так:
 ```bash
 git clone 'https://ВАШ-FORGE/shop.git' "$SHOP_ROOT"
 ```
 ### `package.json` ENOENT в `/opt/shop`
 Вы в **родительской** папке, а клон в подкаталоге (или наоборот).
 ```bash
 find /opt -name package.json 2>/dev/null
 export SHOP_ROOT=/путь/где/найден
 cd "$SHOP_ROOT"
 ```
 ### `You are not currently on a branch`
 После `git checkout v0.x.x` репозиторий в detached HEAD.
 ```bash
 cd "$SHOP_ROOT"
 bash scripts/git-sync.sh
 ```
 ### `scripts/...: No such file or directory`
 Запуск не из клона. Используйте полный путь:
 ```bash
 bash "$SHOP_ROOT/scripts/server-update.sh"
 ```
 ### `Служба shop не установлена` / `Unit shop.service could not be found`
 ```bash
 cd "$SHOP_ROOT"
 sudo bash scripts/install-shop-service.sh
 ```
 В `/etc/systemd/system/shop.service` поля `WorkingDirectory` и `EnvironmentFile` должны указывать на **`$SHOP_ROOT`**.
 ### `shop.service: status=1/FAILURE`, `activating (auto-restart)`
 1. **Порт 3000 занят** (старый ручной Node) — health отвечает, systemd падает:
 ```bash
 sudo bash "$SHOP_ROOT/scripts/free-port-3000.sh"
 sudo systemctl restart shop
 systemctl status shop
 ```
 2. **PostgreSQL** — смотрите лог:
 ```bash
 journalctl -u shop -n 40 --no-pager
 bash "$SHOP_ROOT/scripts/diagnose-shop-service.sh"
 ```
 3. **`.env` не в `SHOP_ROOT`** — скопируйте с прежнего места:
 ```bash
 cp /старый/путь/.env "$SHOP_ROOT/.env"
 sudo bash "$SHOP_ROOT/scripts/install-shop-service.sh"
 ```
 ### Изменения в git не видны на сайте
 Обновление делали не в том каталоге или служба смотрит на другой путь:
 ```bash
 cd "$SHOP_ROOT" && git log -1 --oneline
 grep WorkingDirectory /etc/systemd/system/shop.service
 bash scripts/server-update.sh
 ```
 ---
 ## Проверка
 ```bash
 systemctl status shop
 curl -s http://127.0.0.1:3000/health
 ```
 Ожидается: `{"ok":true,"service":"shop","database":"postgresql"}` и **`Active: active (running)`**.
 ---
 ## Caddy / HTTPS
 Пока `curl http://127.0.0.1:3000/health` не OK, reverse proxy будет отдавать **502**. Сначала backend, потом Caddy.
 См. также: [Решение проблем](Troubleshooting), [Установка без Docker](Install-Native).
@@ -1,71 +1,65 @@
 # Решение проблем
-## Диагностика одной командой
+Полное руководство по развёртыванию: **[Сервер: установка и обновление](Server-Operations)**.
 **Обновление на сервере (рекомендуется):**
 ```bash
-bash /opt/shop/scripts/diagnose-502.sh
+export SHOP_ROOT=/opt/shop/shop10
 bash "$SHOP_ROOT/scripts/server-update.sh"
 ```
 `SHOP_ROOT` — каталог с `package.json` (у вас может быть `/opt/shop`).
 Перед диагностикой:
 ```bash
 export SHOP_ROOT=/opt/shop/shop10
 cd "$SHOP_ROOT"
 ```
 ---
 ## Диагностика
 ```bash
 bash "$SHOP_ROOT/scripts/diagnose-502.sh"
 bash "$SHOP_ROOT/scripts/diagnose-shop-service.sh"
 journalctl -u shop -n 50 --no-pager
 ```
 ---
 ## Краткая таблица ошибок
 | Симптом | Что делать |
 |---------|------------|
 | `postgresql-17` not found | `sudo bash scripts/install-postgresql-ubuntu.sh` |
 | Placeholder / `URL_РЕПОЗИТОРИЯ` | `git clone <ваш-url> "$SHOP_ROOT"` — не копировать шаблоны как команды |
 | Нет `package.json` | `find /opt -name package.json`; `cd` в найденный каталог |
 | detached HEAD | `bash scripts/git-sync.sh` |
 | Нет `scripts/...` | `bash "$SHOP_ROOT/scripts/server-update.sh"` |
 | Unit shop not found | `sudo bash scripts/install-shop-service.sh` |
 | shop exit-code / auto-restart | `sudo bash scripts/free-port-3000.sh`; `systemctl restart shop` |
 | 502 в браузере | `curl http://127.0.0.1:3000/health` — сначала backend |
 | ECONNREFUSED :5432 | `bash scripts/fix-db-connection.sh` |
 Подробности — в [Server-Operations](Server-Operations).
 ---
 ## HTTP 502 (Caddy / браузер)
 **SSL работает, страница 502** — Caddy жив, backend (Node) не отвечает.
 ```bash
 curl -s http://127.0.0.1:3000/health
 systemctl status shop
 journalctl -u shop -n 30 --no-pager
 ```
 Пока `/health` не OK — Caddy будет отдавать 502.
 ---
-## ECONNREFUSED 127.0.0.1:5432
+## Docker
 PostgreSQL не запущен или не установлен.
 ```bash
 bash /opt/shop/scripts/fix-db-connection.sh
 ```
 Или вручную:
 ```bash
 systemctl start postgresql
 pg_isready -h 127.0.0.1 -p 5432
 bash scripts/setup-postgres-ubuntu.sh
 ```
 Проверьте `DATABASE_URL` в `/opt/shop/.env`.
 ---
 ## Служба shop сразу останавливается
 В логе только «База уже содержит товары» без строки `Магазин: http://...`:
 ```bash
 cd /opt/shop && git pull   # нужен исправленный seed.js (v0.10.0+)
 systemctl restart shop
 ```
 ---
 ## dubious ownership (git pull)
 Не делайте `chown -R www-data /opt/shop`.
 ```bash
 chown -R root:root /opt/shop
 git config --global --add safe.directory /opt/shop
 git pull
 ```
 ---
 ## Docker: контейнер app unhealthy
 ```bash
 docker compose logs app
@@ -73,16 +67,23 @@ docker compose logs postgres
 docker compose up -d --build
 ```
---
+`DATABASE_URL` в compose должен указывать на сервис `postgres`, не на `127.0.0.1` внутри контейнера app.
 ## Docker: нет связи с БД
 Проверьте, что `DATABASE_URL` в compose указывает на хост `postgres`, а не `127.0.0.1` (внутри контейнера app).
 ---
-## Полезные ссылки
+## git pull / dubious ownership
 Не делайте `chown -R www-data` на весь каталог репозитория.
 ```bash
 git config --global --add safe.directory "$SHOP_ROOT"
 cd "$SHOP_ROOT" && git pull
 ```
 ---
 ## Ссылки
 - [Сервер: установка и обновление](Server-Operations)
 - [Установка Docker](Install-Docker)
 - [Установка без Docker](Install-Native)
 - [Репозиторий](https://git.evilfox.cc/test/shop10)
Author	SHA1	Message	Date
shop	dedef454c8	docs: обновление в Troubleshooting — SHOP_ROOT + server-update Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:49:47 +03:00
shop	42a1ca312f	docs: рекомендуемое обновление через SHOP_ROOT и server-update.sh Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:49:32 +03:00
shop	ed9850c96f	docs: один зарегистрированный администратор (ADMIN_EMAIL) Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:41:16 +03:00
shop	e2a7c79245	feat: подписка на уведомление о поступлении товара Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:38:03 +03:00
shop	561fbd22e0	docs: Server-Operations — универсальное развёртывание без привязки к домену Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:34:25 +03:00
shop	d31a63829c	fix: освобождать порт 3000 перед запуском shop.service Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:31:56 +03:00
shop	f13ec7f29a	fix: shop.service — wait-postgres, диагностика, права .env Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:28:46 +03:00
shop	b44419aebd	feat: install-shop-service.sh для установки systemd unit Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:25:57 +03:00
shop	da77b1f8da	fix: git-sync для detached HEAD, shop-root требует .git Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:24:06 +03:00
shop	b7c8d2ed80	fix: быстрое развёртывание — PGDG, /opt/shop/shop10, без placeholder URL Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:23:00 +03:00
shop	42177555ac	fix: server-update ищет корень репо (в т.ч. /opt/shop/shop10) Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 13:14:06 +03:00
shop	e71bfa35dc	feat: passkey в профиле и входе, кнопка админки в кабинете Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 12:58:00 +03:00
shop	711110c03b	docs: убрать упоминания SQLite — проект только на PostgreSQL Co-authored-by: Cursor <cursoragent@cursor.com>	2026-05-17 12:51:07 +03:00