lijiaoqiao

Author	SHA1	Message	Date
Your Name	4adeee2e06	fix: close p0 auth and release gate gaps	2026-04-11 09:25:31 +08:00
Your Name	e9523ea7a3	fix: 修复验证报告SEC-001和SEC-003安全问题 SEC-001: 移除硬编码"123456"测试码 - 修改DefaultSMSVerifier.Verify返回错误，强制要求配置真实SMS服务 - 添加ErrSMSServiceNotConfigured错误定义 - 更新相关测试使用mock SMS verifier SEC-003: 添加IP欺骗防护 - AuthConfig添加TrustedProxies配置项 - getClientIP添加可信代理验证参数 - 仅在请求来自可信代理时信任X-Forwarded-For头 - 添加isTrustedProxy和containsCIDR辅助函数架构重构: - 创建internal/adapter包，包含存储适配器 - 创建internal/outbox包，包含OutboxProcessorRunner - 创建internal/compensation包，包含补偿执行器 - main.go从891行减少到349行 TDD方法: - 为每个修复编写测试用例 - 测试通过后再提交代码	2026-04-09 20:28:23 +08:00
Your Name	efa4edcc15	fix: 修复提现唯一性检查问题 (PRD P0) 问题：Withdraw函数没有检查是否已有处理中的提现，可能导致并发提现修复内容： 1. 添加新错误码 ErrWithdrawAlreadyProcessing (SUP_SET_4093) 2. 在 SettlementStore 接口添加 HasPendingOrProcessingWithdraw 方法 3. 在 Withdraw 函数中添加检查：已有pending/processing状态提现时拒绝新的提现 4. 在 Repository 中实现 HasPendingOrProcessingWithdraw（检查 pending 和 processing 状态） 5. 在所有 mock 实现中添加该方法修改的文件： - domain/settlement.go: 接口定义和 Withdraw 逻辑 - domain/invariants.go: 新错误码 - repository/settlement.go: HasPendingOrProcessingWithdraw 实现 - storage/store.go: InMemorySettlementStore 实现 - cmd/supply-api/main.go: DBSettlementStore 和 InMemorySettlementStoreAdapter 实现 - test mocks: 添加 HasPendingOrProcessingWithdraw	2026-04-08 20:26:50 +08:00
Your Name	40ab7cf851	feat: 初始化ForeignKeyValidator和CompensationProcessor P0-07: 批量补偿处理器 - 添加NewCompensationProcessor构造函数 - 添加NoOpCompensationStats实现 - 添加defaultCompensationExecutor placeholder实现 - 在main.go中初始化CompensationProcessor P0-09: 外键校验器 - 修改ForeignKeyValidator使用pgxpool替代sql.DB - 在main.go中初始化ForeignKeyValidator - 在创建账户前调用ValidateSupplyAccountOwner - 在创建套餐前调用ValidatePackageSupplyAccount - SupplyAPI添加fkValidator字段修改的文件: - cmd/supply-api/main.go: 初始化组件 - internal/httpapi/supply_api.go: 添加外键校验 - internal/domain/compensation.go: 添加构造函数和Stats实现 - internal/repository/foreign_key_validator.go: 改用pgxpool	2026-04-08 19:00:06 +08:00
Your Name	879c09f6d3	test: improve domain and handler test coverage - domain: add comprehensive PackageService and SettlementService tests - handler: fix alert_handler_test mock audit store signature - invariants_test.go: add CheckAccountDelete/Activate tests - settlement_test.go: add Withdraw, Cancel, List, GetByID tests - package_test.go: add Clone, BatchUpdatePrice tests Coverage improvements: - domain: 40.7% -> 71.2% - middleware: 80.4% - audit/handler: 79.6% - audit/service: 83.0% Fixes: - mockAuditStore interface signature (interface{} -> audit.Event) - newMockAccountStore syntax error - Unlist test expects PackageStatusExpired not SoldOut	2026-04-08 10:01:41 +08:00
Your Name	ac1209aa94	fix: 启用主动吊销机制和分区自动维护 - 启动Redis Pub/Sub订阅实现主动吊销失效 - 添加分区管理器后台维护(每小时预创建分区+清理过期分区)	2026-04-07 18:01:08 +08:00
Your Name	2689291e22	fix: 添加JWT RS256配置支持 - TokenConfig添加Algorithm和PublicKey字段 - 支持HS256(默认)和RS256/RS384/RS512 - 添加parseRSAPublicKey解析PEM格式公钥	2026-04-07 17:46:38 +08:00
Your Name	4bbd609ceb	fix: 修复C-04/C-05/C-06/C-07架构级问题 C-06: DBSettlementStore.GetWithdrawableBalance 使用AccountRepository真实查询余额 C-05: DBEarningStore 使用新建的UsageRepository实现ListRecords/GetBillingSummary C-04: 供应商ID从cfg.Server.DefaultSupplierID配置读取 C-07: PDF链接从cfg.Server.StatementBaseURL配置读取新增: - internal/repository/usage.go: 用量记录仓储	2026-04-07 17:24:26 +08:00
Your Name	12ce4913cd	fix: 修复复审中发现的NEW-P0和NEW-P1问题修复内容： 1. NEW-P0-03: 删除重复的api.Register(mux)调用 2. NEW-P0-04: 修复handler/mux链路混乱问题 3. NEW-P1-03: 添加tokenBackend和auditEmitter适配器修复nil问题 4. NEW-P1-04: 幂等中间件因repo为nil保持禁用，使用内联幂等逻辑 5. NEW-P1-05: 统一幂等方案为supply_api.go内联实现新增： - memoryTokenBackend: 内存token状态后端 - auditEmitterAdapter: auditStore到middleware.AuditEmitter的适配器注意：审计日志分页total问题(NEW-P2-02)需要架构重构修复	2026-04-03 12:54:14 +08:00
Your Name	f34333dc09	fix: 修复代码审查中发现的P0/P1/P2问题修复内容： 1. P0-01/P0-02: IAM Handler硬编码userID=1问题 - getUserIDFromContext现在从认证中间件的context获取真实userID - 添加middleware.GetOperatorID公开函数 - CheckScope方法添加未认证检查 2. P1-01: 审计服务幂等竞态条件 - 重构锁保护范围，整个检查和插入过程在锁保护下 - 使用defer确保锁正确释放 3. P1-02: 幂等中间件响应码硬编码 - 添加statusCapturingResponseWriter包装器 - 捕获实际的状态码和响应体用于幂等记录 4. P2-01: 事件ID时间戳冲突 - generateEventID改用UUID替代时间戳 5. P2-02: ListScopes硬编码 - 使用model.PredefinedScopes替代硬编码列表所有supply-api测试通过	2026-04-03 12:25:22 +08:00
Your Name	b933f06bdd	docs(supply-api): 添加README并更新TODO注释 - 添加 supply-api/README.md (R-06 文档完善) - 更新 main.go TODO注释标记 DatabaseAuditService 已创建 R-05, R-06 低优先级任务完成。	2026-04-03 12:06:08 +08:00
Your Name	50225f6822	fix: 修复4个安全漏洞 (HIGH-01, HIGH-02, MED-01, MED-02) - HIGH-01: CheckScope空scope绕过权限检查 * 修复: 空scope现在返回false拒绝访问 - HIGH-02: JWT算法验证不严格 * 修复: 使用token.Method.Alg()严格验证只接受HS256 - MED-01: RequireAnyScope空scope列表逻辑错误 * 修复: 空列表现在返回403拒绝访问 - MED-02: Token状态缓存未命中时默认返回active * 修复: 添加TokenStatusBackend接口，缓存未命中时必须查询后端影响文件: - supply-api/internal/iam/middleware/scope_auth.go - supply-api/internal/middleware/auth.go - supply-api/cmd/supply-api/main.go (适配新API) 测试覆盖: - 添加4个新的安全测试用例 - 更新1个原有测试以反映正确的安全行为	2026-04-03 07:52:41 +08:00
Your Name	ed0961d486	fix(supply-api): 修复编译错误和测试问题 - 添加 ErrNotFound 和 ErrConcurrencyConflict 错误定义 - 修复 pgx.NullTime 替换为 *time.Time - 修复 db.go 事务类型 (pgx.Tx vs pgxpool.Tx) - 移除未使用的导入和变量 - 修复 NewSupplyAPI 调用参数 - 修复中间件链路 handler 类型问题 - 修复适配器类型引用 (storage.InMemoryAccountStore 等) - 所有测试通过 Test: go test ./...	2026-04-01 13:03:44 +08:00
Your Name	ecb5fad1c9	feat(supply-api): 完善domain层和main入口修改内容： - cmd/supply-api/main.go: 完善HTTP API入口和路由配置 - go.mod: 更新依赖版本 - domain/account.go: 完善账户领域模型 - domain/package.go: 完善套餐领域模型 - domain/settlement.go: 完善结算领域模型这些是supply-api的核心domain层实现	2026-04-01 08:53:47 +08:00
Your Name	e9338dec28	feat: sync lijiaoqiao implementation and staging validation artifacts	2026-03-31 13:40:00 +08:00

15 Commits