2026-03-21 工作日志

安全与质量优化

完成以下 10 个建议级问题的修复：

SanitizeSQL/SanitizeXSS 方法 - internal/security/validator.go
- 使用正则表达式替代简单字符串替换
- 添加 SQL 注入模式检测（UNION, DROP TABLE, xp_, sp_ 等）
- 添加 XSS 攻击模式检测（script, iframe, event handlers 等）
IP 验证正则 - internal/security/validator.go
- 使用 net.ParseIP 替代手动正则
- 支持所有 IPv6 格式（包括压缩格式如 ::1, fe80::1）
- 添加 ValidateIPv4 和 ValidateIPv6 专用方法
OAuth 用户名生成冲突 - internal/service/auth.go
- 添加 sanitizeUsername 函数处理昵称
- 添加 generateUniqueUsername 方法检查数据库唯一性
- 最多 100 次重试，添加数字后缀避免冲突
LIKE 搜索特殊字符 - internal/repository/user.go
- 添加 escapeLikePattern 函数转义 % 和 _
- 修改 Search 和 AdvancedSearch 方法使用转义后的关键字
权限检查 N+1 查询 - internal/api/middleware/auth.go
- 添加 role.GetByIDs() 批量查询方法
- 添加 permission.GetByIDs() 批量查询方法
- 添加 rolePermission.GetPermissionIDsByRoleIDs() 批量查询方法
- 重构 loadUserRolesAndPerms 方法使用批量查询
JWT JTI 使用 math/rand - internal/auth/jwt.go
- 改用 crypto/rand 生成 16 字节密码学安全随机数
- 添加降级处理以应对极端情况

HTTP 请求超时 - frontend/admin/src/lib/http/client.ts
- 添加 DEFAULT_TIMEOUT = 30 * 1000 常量
- 使用 AbortController 实现超时控制
- 添加超时错误处理和友好的错误消息
App.tsx 模板代码 - frontend/admin/src/
- 删除 src/App.tsx Vite 模板文件
- 删除 src/App.css 未使用样式
CSRF Token 保护 - frontend/admin/src/lib/http/csrf.ts
- 创建完整的 CSRF Token 管理模块
- 自动为 POST/PUT/DELETE/PATCH 请求添加 X-CSRF-Token 头
- 在 AuthProvider 中集成初始化和清除逻辑