Roadmap público

Realm DefendersTower

Tower Defense online com camadas de RPG, gacha e live service. Esta página espelha onde paramos, onde vamos e por quê — pra qualquer pessoa do time poder pegar o contexto sem reunião.

Última atualização: 2026-05-12

Decisões recentes

2026-05-12StackNestJS + Prisma + Postgres 16 + Redis 7 + Next.js 15 + Phaser 3 + Nginx + Docker Compose. ADR-0001.
2026-05-12IsolamentoProjeto 100% separado de Vistum: VPS própria, banco, R2, secrets, redes, agentes. ADR-0002.
2026-05-12Domíniorealmdefendertower.site (Hostinger) como domínio provisório de teste.
2026-05-12Anti-cheatServidor é autoridade absoluta sobre economia. Cliente é interface. Idempotency + ledger append-only em toda transação.
2026-05-12VisualPaleta proposta: ink/navy base, gold recompensa, arcane roxo gacha, emerald energia, ember dano. A definir final.

Fundação técnica

Tudo que precisa estar de pé antes de o produto começar a nascer: VPS, segurança, Docker, banco, skeleton, domínio e SSL.

em curso

0.1
Hardening da VPS
VPS Debian 12 com firewall (nftables policy drop), fail2ban, SSH chave-only, NTP loopback, sysctl hardening, AppArmor ativo, backups das configs originais.
- →Acesso SSH por chave (sem senha)
- →fail2ban + 1 IP já banido na primeira hora
- →Apenas TCP/22 + TCP/80 + TCP/443 públicos
- →74 pacotes oldstable atualizados + reboot
- →NTP escutando só em loopback
concluído
0.2
Documentação base + Agentes
PROJECT_CONTEXT, ARCHITECTURE, GAME_DESIGN_BIBLE, SECURITY_AND_ANTICHEAT, ROADMAP, ASSET_PIPELINE, INFRASTRUCTURE_AUDIT + 2 ADRs. 9 agentes especializados criados.
- →10 documentos cobrindo produto, arquitetura, segurança, design, infra
- →ADR-0001 (stack final) e ADR-0002 (isolamento total do Vistum)
- →9 agentes tower-* dedicados ao projeto
concluído
0.3
Docker + estrutura /opt/tower
Docker 29 + Compose. Redes Docker isoladas (tower-edge externa, tower-internal sem rota). Usuário tower (uid 2000) sem sudo.
- →Usuário tower com permissão Docker isolada
- →Estrutura /opt/tower/{compose,config,data,backups,logs}
- →Redes Docker: tower-edge e tower-internal
concluído
0.4
Postgres 16 + Redis 7
Containers isolados na rede interna. Sem portas públicas. Senhas fortes geradas. Comandos perigosos do Redis renomeados pra string vazia.
- →Postgres 16.13 healthy, db realm_defenders_tower
- →Redis 7 healthy, requirepass + FLUSH/CONFIG renomeados
- →JWT par RSA 2048 montado como volume read-only
concluído
0.5
Monorepo + skeleton funcional
apps/api (NestJS) + apps/web (Next 15) + apps/worker (BullMQ) + packages/{shared,game-rules,ui}. Builds Docker rodando com pnpm deploy.
- →API NestJS: /health e /health/deep retornando 200
- →Web Next.js 15 renderizando landing
- →Worker BullMQ com heartbeat queue
- →Prisma schema inicial com User + enums
concluído
0.6
Domínio + SSL + Nginx
realmdefendertower.site (Hostinger). DNS configurado: 16 registros (12 subdomínios + SPF + DMARC + CAA Let's Encrypt). Nginx host com vhost. Certbot emitiu cert pra apex + www + roadmap.
- →DNS resolvendo em segundos pela Cloudflare DNS
- →Cert válido até 2026-08-10 (renewal auto via timer systemd)
- →HTTP → HTTPS redirect; www → apex redirect
- →Headers de segurança: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- →roadmap.realmdefendertower.site dedicado (esta página)
concluído

MVP jogável

Loop completo: cadastro, login, lobby, campanha de 10 fases, gacha básico, 3 torres, 3 inimigos, 5-8 heróis, energia, XP, painel admin simples e anti-cheat base.

1.1
Auth: cadastro, login, refresh, reset
Argon2id, JWT RS256, refresh token rotativo, rate limit, mensagens neutras. Frontend: telas login/register/profile.
- →POST /auth/register, /login, /refresh, /logout, /forgot, /reset
- →Sessões server-side com revogação total (logout-all)
- →Rate limit 5/min por IP, lock após 10 falhas
- →Hash Argon2id (memoryCost 64MB)
próximo
1.2
Schema completo: identidade + economia
User, Session, Account, Wallet, LedgerEntry, AuditEvent. Migration aplicada. Seed mínimo.
planejado
1.3
Landing nova + onboarding + lore
Landing fantasy com seções (heróis, torres, gacha, campanha, coming soon). Fluxo de onboarding em 10 passos. Lore inicial publicada.
planejado
1.4
Catálogo de jogo (heróis, torres, inimigos, fases)
Seed com 8 heróis, 3 torres ativas, 3 inimigos, 1 mapa × 10 fases. Endpoints de listagem.
planejado
1.5
Gameplay Phaser 3
Rota /play renderiza batalha com seed do servidor. Spawn ondas, torres, projéteis, herói. Reporta resultado pro backend.
planejado
1.6
Battle session blindada
Idempotency, atomicidade, validação de plausibilidade, recompensa calculada server-side. AuditEvent + LedgerEntry em toda transação.
planejado
1.7
Gacha + inventário + progressão
RNG server-side, pity por banner, rates auditáveis. Upgrade de nível/estrela com custos da Game Design Bible.
planejado
1.8
Painel admin (MVP)
Login admin com MFA TOTP. Listagem de usuários, ledger, pulls. AdminAuditEvent em toda ação.
planejado
1.9
Asset Manager mínimo
Upload manual + categorias + status (draft/review/approved/live) + versionamento + linkage com entidades do jogo.
planejado

Conveniência e profundidade

Equipamentos, dungeons, daily quests, battle pass, loja, VIP, telemetria detalhada.

planejado

2.1
Equipamentos + crafting
6 raridades, 6 slots, atributos primários e sub. Combine 5 da mesma cor → 1 superior.
planejado
2.2
Dungeons
Resource, Equipment, Shard, Boss, Daily Elemental — cada uma com loot e limite diário.
planejado
2.3
Battle Pass
Free + Premium. 50 níveis. Temporada de 60 dias. XP via missões diárias/semanais.
planejado
2.4
Loja + VIP
Packs de gems, ofertas timed, VIP por gasto histórico. Sem pay-to-win extremo.
planejado
2.5
Observabilidade
Sentry → Prometheus + Grafana + exporters. Dashboards de health, latência, eventos econômicos.
planejado

Social e competitivo

Guildas, PvP assíncrono, eventos timed, ranking, mail/compensação, fraude avançada.

planejado

3.1
Guildas
Chat WS, cargos, missões coletivas, boss semanal.
planejado
3.2
PvP Score Arena
Janela semanal, mesmo mapa pra todos, servidor re-simula com seed da semana.
planejado
3.3
Eventos + mail
Banners limited, drop boost, gold rush. Inbox de compensação com reivindicação.
planejado
3.4
Fraude avançada
Shadow ban, score de risco com ML, dashboard de revisão.
planejado

Mobile e publicação

Wrapper Capacitor, login Google/Apple, push notifications, publicação Play Store + App Store.

planejado

4.1
Capacitor Android/iOS
Bundle do web em apps nativos.
planejado
4.2
Login Google / Apple
OAuth nativos das stores.
planejado
4.3
IAP
Google Play Billing + StoreKit (Stripe não funciona em apps).
planejado

Decisões recentes

Hardening da VPS

Documentação base + Agentes

Docker + estrutura /opt/tower

Postgres 16 + Redis 7

Monorepo + skeleton funcional

Domínio + SSL + Nginx

Auth: cadastro, login, refresh, reset

Schema completo: identidade + economia

Landing nova + onboarding + lore

Catálogo de jogo (heróis, torres, inimigos, fases)

Gameplay Phaser 3

Battle session blindada

Gacha + inventário + progressão

Painel admin (MVP)

Asset Manager mínimo

Equipamentos + crafting

Dungeons

Battle Pass

Loja + VIP

Observabilidade

Guildas

PvP Score Arena

Eventos + mail

Fraude avançada

Capacitor Android/iOS

Login Google / Apple

IAP