docs: add 2026-04-18 optimization baseline to governance documents

- Add optimization baseline appendix to QUALITY_STANDARD.md defining current baseline gates for all future optimization work - Update REAL_PROJECT_STATUS.md with latest project status - Add experience summary to PROJECT_EXPERIENCE_SUMMARY.md - Add technical guide updates to TECHNICAL_GUIDE.md - Add FULL_CODE_REVIEW_REPORT_2026-04-17.md as reference document
2026-04-18 12:24:36 +08:00
parent bba44e820a
commit b6f330fe7d
5 changed files with 808 additions and 14 deletions
--- a/docs/team/TECHNICAL_GUIDE.md
+++ b/docs/team/TECHNICAL_GUIDE.md
@@ -81,3 +81,75 @@ npm.cmd run e2e:full:win
 - `frontend/admin/scripts/run-playwright-auth-e2e.ps1`：需要优先保证文档支持的 `e2e:full:win` 入口自身稳定，而不是只验证子命令。
 - `frontend/admin/src/components/common/ui-consistency.test.tsx`：原生弹窗噪声仍会污染测试结果，应继续清理。
 - `internal/api/handler/user_handler.go` 与 `internal/service/user_service.go`：RBAC / 管理员治理逻辑需要持续按越权、事务、自删、最后管理员等维度审查。
+## 2026-04-18 优化修复入口
+
+本附录是任何工程师或智能体在当前仓库状态下开启新一轮优化或修复批次时的强制入口。
+
+### 1. 改代码前的阅读顺序
+
+开始前按以下顺序阅读：
+
+1. `docs/status/REAL_PROJECT_STATUS.md`
+2. `docs/code-review/FULL_CODE_REVIEW_REPORT_2026-04-17.md`
+3. `docs/team/QUALITY_STANDARD.md`
+4. `docs/team/PROJECT_EXPERIENCE_SUMMARY.md`
+
+用途：
+
+- `REAL_PROJECT_STATUS` 告诉你当前已经验证过的工作区真相。
+- `FULL_CODE_REVIEW_REPORT` 告诉你已经复核过的风险清单和任务分级。
+- `QUALITY_STANDARD` 告诉你当前必须遵守的工程约束。
+- `PROJECT_EXPERIENCE_SUMMARY` 告诉你哪些失败模式已经真实消耗过项目时间。
+
+### 2. 先执行的新鲜命令
+
+在做出任何“当前状态”判断前，先执行：
+
+```powershell
+go build ./cmd/server
+go vet ./...
+go test ./... -count=1
+
+cd frontend/admin
+npm.cmd run lint
+npm.cmd run build
+```
+
+如果本轮工作涉及认证、会话、路由守卫、导航、弹窗防线或用户主流程，还要执行：
+
+```powershell
+cd frontend/admin
+npm.cmd run e2e:full:win
+```
+
+### 3. 当前发布阻塞级关注点
+
+在一般优化之前，优先处理这些区域：
+
+- `internal/api/handler/user_handler.go`
+  `UpdateUser` authorization boundary
+- `internal/service/auth.go`
+  password login MFA/device-trust enforcement
+- `internal/service/auth.go`
+  refresh-token revocation persistence failure handling
+- `internal/api/middleware/cors.go`
+  unsafe default CORS behavior
+- `internal/repository/user.go`
+  cursor/sort mismatch in `ListCursor`
+- `internal/service/password_reset.go`
+  single-use verification code consumption semantics
+
+### 4. 修复批次工作规则
+
+- 不要把历史绿灯当作当前证据。
+- 不要在没有分别验证的情况下，把门禁刷新、安全修复和重构混在同一个“已完成”结论里。
+- 修 bug 或安全问题时，没有对应回归测试，就不要把任务提升为“完成”。
+- 不要让包装脚本掩盖项目正式支持主命令的失败。
+
+### 5. 文档更新规则
+
+当一轮修复改变了真实结论时，必须在同一批次同步更新：
+
+- `docs/status/REAL_PROJECT_STATUS.md`
+- 规则变化时更新 `docs/team/QUALITY_STANDARD.md`
+- 产出可复用经验时更新 `docs/team/PROJECT_EXPERIENCE_SUMMARY.md`