Spec-Driven Development với Kiro: Từ Prompt đến Pull Request

Spec-driven development là siêu năng lực của Kiro. Day 0 giải thích tại sao nó quan trọng, Day 1 chúng ta cài đặt và cấu hình. Hôm nay, chúng ta chạy qua một quy trình spec-driven hoàn chỉnh — từ một prompt mơ hồ đến pull request đã được merge — sử dụng một tính năng thực tế: xây dựng subscription billing với Stripe.

Kết thúc bài này, bạn sẽ hiểu chính xác từng giai đoạn hoạt động thế nào, khi nào cần phán đoán của con người, và làm sao để đạt kết quả tốt nhất từ spec engine của Kiro.

Thiết lập#

Chúng ta sẽ dùng một dự án SaaS Node.js giả định tên SaaSKit với:

Express.js backend
PostgreSQL qua Drizzle ORM
Stripe cho thanh toán
Vitest cho unit tests
Zod cho input validation

Steering file (.kiro/steering.md) đã định nghĩa kiến trúc, tiêu chuẩn code, và quy tắc bảo mật từ Day 1. Hãy xem Kiro sử dụng ngữ cảnh đó thế nào.

Giai đoạn 1: Prompt#

Chúng ta bắt đầu với một prompt cố tình mơ hồ trong Spec Mode:

“Thêm subscription billing để người dùng có thể trả tiền hàng tháng”

Trong Vibe Mode, prompt này sẽ tạo ra một trang đăng nhập và widget thanh toán — hoàn toàn sai. Trong Spec Mode, Kiro làm điều khác biệt.

Giai đoạn 2: Tạo Spec#

Kiro tạo ra các yêu cầu có cấu trúc. Đây là những gì nó tạo ra:

1
## Tính năng: Subscription Billing
2

3
### User Stories
4
1. Là người dùng, tôi muốn chọn giữa gói Tháng ($29) và Năm ($290)
5
2. Là người dùng, tôi muốn nhập thông tin thanh toán và đăng ký
6
3. Là người dùng, tôi muốn xem trạng thái subscription trên dashboard
7
4. Là người dùng, tôi muốn hủy subscription bất cứ lúc nào
8
5. Là người dùng, tôi muốn xem lịch sử thanh toán trong ứng dụng
9

10
### Functional Requirements
11
- [ ] Màn hình chọn gói với toggle Tháng/Năm
12
- [ ] Tích hợp Stripe Checkout cho thanh toán
13
- [ ] Webhook handler cho các sự kiện subscription (tạo, cập nhật, hủy)
14
- [ ] Database schema: bảng subscriptions với status, plan, stripe_customer_id
15
- [ ] Dashboard widget hiển thị trạng thái subscription và ngày thanh toán tiếp theo
16
- [ ] Luồng hủy subscription với hộp thoại xác nhận
17

18
### Acceptance Criteria
19
- [ ] Gói Tháng tính $29.00 USD mỗi 30 ngày
20
- [ ] Gói Năm tính $290.00 USD mỗi 365 ngày
21
- [ ] Người dùng có thể nâng cấp từ Tháng lên Năm (prorated)
22
- [ ] Hạ cấp có hiệu lực ở chu kỳ thanh toán tiếp theo
23
- [ ] Subscription đã hủy vẫn hoạt động đến hết kỳ
24
- [ ] Xác minh chữ ký webhook cho tất cả sự kiện Stripe
25
- [ ] Tất cả endpoints trả về 401 cho request chưa xác thực
26
- [ ] Xử lý webhook idempotent (không tính phí trùng)
27

28
### Edge Cases
29
- [ ] Stripe Checkout session hết hạn
30
- [ ] Webhook gửi thất bại (logic retry)
31
- [ ] Khách hàng hủy trong thời gian dùng thử
32
- [ ] Phương thức thanh toán bị từ chối (retry với email thông báo)
33
- [ ] Thay đổi subscription đồng thời
34
- [ ] Không khớp tiền tệ (chỉ chấp nhận USD)
35
- [ ] Giá gói thay đổi giữa chu kỳ (grandfather existing)
36

37
### Non-functional Requirements
38
- [ ] Phản hồi webhook trong 5 giây (Stripe timeout)
39
- [ ] Trạng thái subscription được cache cho dashboard (tối đa 5 phút)
40
- [ ] GDPR: xuất dữ liệu subscription theo yêu cầu
41
- [ ] Audit log cho mọi thay đổi trạng thái subscription
42

43
### Database Schema (đề xuất)
44
```sql
45
CREATE TYPE subscription_status AS ENUM (
46
  'trialing', 'active', 'past_due', 'canceled', 'unpaid'
47
);
48

49
CREATE TABLE subscriptions (
50
  id            UUID PRIMARY KEY DEFAULT gen_random_uuid(),
51
  user_id       UUID NOT NULL REFERENCES users(id),
52
  plan          VARCHAR(20) NOT NULL CHECK (plan IN ('monthly', 'annual')),
53
  status        subscription_status NOT NULL DEFAULT 'trialing',
54
  stripe_customer_id VARCHAR(255),
55
  stripe_subscription_id VARCHAR(255),
56
  current_period_start TIMESTAMPTZ,
57
  current_period_end   TIMESTAMPTZ,
58
  canceled_at    TIMESTAMPTZ,
59
  created_at     TIMESTAMPTZ DEFAULT NOW(),
60
  updated_at     TIMESTAMPTZ DEFAULT NOW()
61
);

Ghi chú Review Spec#

Kiro tự động đánh dấu các phụ thuộc và vấn đề tiềm ẩn:

1
⚠️ Tính năng này yêu cầu Stripe API keys trong biến môi trường
2
⚠️ Cần database migration (bảng subscriptions mới + index trên user_id)
3
⚠️ Webhook endpoint phải được đăng ký trong Stripe dashboard
4
💡 Gợi ý: thêm /api/billing/webhook endpoint trước Checkout routes

Việc của bạn ở giai đoạn này: Xem và phê duyệt spec. Đây là checkpoint quan trọng nhất của con người trong quy trình. Sửa edge cases, thêm kịch bản thiếu, xác thực schema. Khi đã phê duyệt, Kiro tạo task plan.

Giai đoạn 3: Tạo Task Plan#

Với spec đã được phê duyệt, Kiro tạo ra một chuỗi task có thứ tự phụ thuộc:

1
## Task Plan: Subscription Billing
2

3
### Task 1: Database Migration
4
- Tạo bảng subscriptions với enum support
5
- Thêm indexes trên user_id, stripe_customer_id
6
- Tạo bảng audit_logs cho sự kiện thanh toán
7
- Phụ thuộc: không
8
- Chấp nhận: phải có thể rollback
9

10
### Task 2: Stripe Configuration Module
11
- Tạo services/stripe.ts với khởi tạo client
12
- Định nghĩa hằng số plan (monthly price ID, annual price ID)
13
- Thêm webhook signature verification utility
14
- Phụ thuộc: Task 1 (schema tham chiếu trong code)
15

16
### Task 3: Subscription Model & Repository
17
- Tạo models/Subscription.ts với Drizzle schema
18
- Tạo repositories/SubscriptionRepository.ts
19
- CRUD operations + xác thực chuyển đổi trạng thái
20
- Phụ thuộc: Task 1
21

22
### Task 4: Checkout API Endpoint
23
- POST /api/billing/checkout — tạo Stripe Checkout Session
24
- Chọn gói, tạo customer (hoặc tái sử dụng)
25
- POST /api/billing/portal — Stripe Customer Portal
26
- Phụ thuộc: Task 2, Task 3
27

28
### Task 5: Webhook Handler
29
- POST /api/billing/webhook — Stripe webhook receiver
30
- Xử lý sự kiện: checkout.session.completed, invoice.paid, customer.subscription.updated
31
- Khử trùng lặp sự kiện qua Stripe-Signature header
32
- Phụ thuộc: Task 2, Task 3
33

34
### Task 6: Dashboard Subscription Widget
35
- Frontend component hiển thị status, plan, ngày thanh toán tiếp theo
36
- Nút Cancel với modal xác nhận
37
- Bảng lịch sử thanh toán
38
- Phụ thuộc: Task 4, Task 5 (đã biết data shape)
39

40
### Task 7: Unit Tests
41
- Test từng method của repository
42
- Test webhook handler với mock Stripe events
43
- Xác thực edge cases (checkout hết hạn, thanh toán bị từ chối)
44
- Phụ thuộc: Tasks 1-5
45

46
### Task 8: Integration Tests
47
- Test full checkout → webhook → subscription creation flow
48
- Test cancel và re-subscribe cycle
49
- Test prorated upgrade
50
- Phụ thuộc: Tasks 1-6

Xem kỹ task plan. Các phụ thuộc phải chính xác. Nếu Task 5 cần một cột database mà Task 1 không bao gồm, hãy báo ngay. Kiro sẽ điều chỉnh plan trước khi thực thi.

Giai đoạn 4: Implementation#

Kiro bắt đầu thực thi các task theo thứ tự phụ thuộc. Bạn có thể quan sát agent làm việc trong thời gian thực — nó mở files, đọc context, viết code, và chuyển sang task tiếp theo.

Cách Kiro thực thi Task 1 (Database)#

Nó đọc steering file, hiểu bạn dùng Drizzle ORM, tạo ra:

1
import { pgTable, uuid, varchar, timestamp, pgEnum } from 'drizzle-orm/pg-core';
2
import { users } from './users';
3

4
export const subscriptionStatusEnum = pgEnum('subscription_status', [
5
  'trialing', 'active', 'past_due', 'canceled', 'unpaid'
6
]);
7

8
export const subscriptions = pgTable('subscriptions', {
9
  id: uuid('id').defaultRandom().primaryKey(),
10
  userId: uuid('user_id').notNull().references(() => users.id),
11
  plan: varchar('plan', { length: 20 }).notNull(),
12
  status: subscriptionStatusEnum('status').notNull().default('trialing'),
13
  stripeCustomerId: varchar('stripe_customer_id', { length: 255 }),
14
  stripeSubscriptionId: varchar('stripe_subscription_id', { length: 255 }),
15
  currentPeriodStart: timestamp('current_period_start'),
16
  currentPeriodEnd: timestamp('current_period_end'),
17
  canceledAt: timestamp('canceled_at'),
18
  createdAt: timestamp('created_at').defaultNow(),
19
  updatedAt: timestamp('updated_at').defaultNow(),
20
});

Nó cũng tự động tạo file migration.

Khi Kiro gặp sự không chắc chắn#

Trong Task 4 (Checkout API), Kiro gặp một sự mơ hồ: nên dùng Stripe Checkout hay Stripe Elements? Nó dừng lại và hỏi:

“Spec của bạn nói ‘Stripe Checkout integration’. Tôi có thể implement bằng Stripe Checkout (trang lưu trữ, redirect) hoặc Elements (form nhúng). Checkout đơn giản hơn và tuân thủ PCI ngay lập tức. Tôi nên dùng Checkout?”

Bạn trả lời, nó tiếp tục. Hành vi đặt câu hỏi này rất quan trọng — Kiro không đoán khi có trade-off.

Giai đoạn 5: Review & Chấp nhận#

Sau khi tất cả task hoàn thành, Kiro trình bày tổng kết mọi thứ đã thay đổi:

1
## Tổng kết Implementation — Subscription Billing
2

3
### Files Created (14)
4
- db/schema/subscriptions.ts (+63 dòng)
5
- db/migrations/0005_subscriptions.sql (+28 dòng)
6
- services/stripe.ts (+45 dòng)
7
- repositories/SubscriptionRepository.ts (+112 dòng)
8
- routes/billing.ts (+89 dòng)
9
- webhooks/stripe.ts (+156 dòng)
10
- frontend/widgets/SubscriptionStatus.tsx (+78 dòng)
11
- frontend/widgets/BillingHistory.tsx (+52 dòng)
12
- frontend/components/CancelModal.tsx (+34 dòng)
13
- tests/unit/subscription-repo.test.ts (+145 dòng)
14
- tests/unit/stripe-webhook.test.ts (+201 dòng)
15
- tests/integration/billing-flow.test.ts (+178 dòng)
16
- types/billing.ts (+22 dòng)
17
- .env.example (cập nhật, +3 dòng)
18

19
### Files Modified (3)
20
- db/schema/index.ts (export subscriptions)
21
- routes/index.ts (đăng ký billing routes)
22
- frontend/router.tsx (thêm billing pages)
23

24
### Kết quả Test
25
- Unit tests: 32 passed, 0 failed
26
- Integration tests: 8 passed, 0 failed
27
- Coverage: 87% (mục tiêu 80% ✓)
28

29
### Câu hỏi Mở
30
- [ ] Cần đặt STRIPE_SECRET_KEY và STRIPE_WEBHOOK_SECRET trong production
31
- [ ] Webhook URL phải được đăng ký trong Stripe dashboard: /api/billing/webhook
32
- [ ] Database migration phải được chạy trước khi deploy

Xem tổng kết này so với spec gốc. Nó đã thực hiện tất cả acceptance criteria chưa? Các edge cases đã được xử lý chưa? Nếu có gì sai, bạn có thể yêu cầu thay đổi và Kiro sẽ điều chỉnh.

Giai đoạn 6: Vòng Phê duyệt#

Vòng phê duyệt của Kiro hoạt động ở ba chế độ:

Chế độ	Mô tả	Tốt nhất cho
Auto-approve	Kiro chạy qua các task không cần chờ	Thay đổi thường, tính năng phạm vi rõ
Per-task approve	Xem từng task trước khi task tiếp theo bắt đầu	Tính năng phức tạp, patterns mới
Per-file approve	Xem từng file diff nội tuyến	Thay đổi nhạy cảm bảo mật, compliance

Cho tính năng subscription này, per-task approve là phù hợp. Bạn sẽ xem thay đổi database schema trước khi Kiro viết business logic, và xem business logic trước khi tests.

Mẹo Thực tế cho Specs Tốt#

Cụ thể về “cái gì”, để Kiro tự tìm “cách nào”#

1
✅ Tốt: "Người dùng phải xác nhận email trước khi truy cập dashboard"
2
❌ Tồi: "Gửi email xác nhận với token trong link, xác minh nó trong controller"

Đưa edge cases vào ngay từ đầu#

Spec nên đề cập:

Điều gì xảy ra khi API bên thứ ba bị down?
Hành vi timeout thế nào?
Làm sao xử lý request trùng lặp?
Dữ liệu nào không bao giờ được log?

Dùng ví dụ cho yêu cầu mơ hồ#

1
✅ Tốt: "Proration: nếu người dùng nâng cấp vào ngày 15 của chu kỳ 30 ngày,
2
   tính (plan_price / 30) * 15 ngày còn lại như một khoản điều chỉnh một lần"

Giữ steering files đồng bộ#

Mỗi lần bạn thêm dependency mới hoặc thay đổi architectural pattern, cập nhật .kiro/steering.md. Kiro đọc nó ở đầu mỗi phiên — steering file cũ tạo ra code lỗi thời.

Spec Mode vs Vibe Mode: Khi nào dùng#

Tình huống	Mode	Tại sao
Tính năng mới với yêu cầu rõ ràng	Spec	Đầu ra có cấu trúc, edge case coverage
Fix bug đã biết root cause	Vibe	Nhanh hơn, không spec overhead
Refactoring (rename, extract, move)	Vibe	Đơn giản, biến đổi rõ ràng
Thay đổi xuyên repo	Spec	Cần dependency tracking
Prototype / khám phá	Vibe → Spec	Bắt đầu nhanh, khóa lại khi rõ hướng
Code quan trọng bảo mật	Spec + per-file review	Giám sát tối đa
CI/CD autofix	CLI vibe	Headless, non-interactive

Cạm bẫy thường gặp#

Over-specifying implementation#

Specs nên mô tả cái gì hệ thống nên làm, không phải code nên viết thế nào. Spec là hợp đồng giữa bạn và agent — để Kiro chọn chi tiết implementation trong giới hạn steering file.

Chấp nhận spec đầu tiên mà không review#

Spec đầu tiên thường đúng 80%. 20% còn lại là nơi bugs ẩn náu. Luôn review edge cases, xử lý lỗi, và considerations bảo mật trước khi phê duyệt.

Quên cập nhật steering files#

Steering file từ dự án cũ vẫn nói “dùng MongoDB” sẽ tạo ra kết quả sai. Giữ steering files hiện tại — chúng là single source of truth cho agent về dự án của bạn.

Bỏ qua review task plan#

Task plan tiết lộ vấn đề phụ thuộc và component thiếu. Nếu bạn bỏ qua bước này, Kiro có thể implement task theo thứ tự tạo ra merge conflict hoặc rework không cần thiết.

Tiếp Theo#

Với quy trình spec-driven development đã nắm vững, Day 3 sẽ khám phá Agent Hooks, Powers, và Tích hợp MCP — cách tự động hóa quality gates, mở rộng khả năng của Kiro, và xây dựng tích hợp công cụ tùy chỉnh của riêng bạn.

Series: Practical Kiro — Môi trường phát triển Agentic của AWS. Day 2: Quy trình Spec-Driven Development. Day 3: Agent Hooks, Power & MCP → sắp tới.