fix(security): 文件上传 MIME 白名单 + OAuth JWT 密钥路径统一

P0 #1: 媒体文件上传增加 MIME 类型白名单校验（jpeg/png/gif/webp/svg/mp4/webm/pdf）和文件大小限制（10MB），扩展名使用白名单清理防止路径遍历攻击。 P0 #2: OAuth JWT 密钥从环境变量改为 State 注入，消除运行时 env::var 依赖， FHIR 路由中间件使用闭包捕获 jwt_secret 保持类型安全。
2026-05-17 12:40:02 +08:00
parent 8d3c5915c9
commit 6841c45846
12 changed files with 180 additions and 43 deletions
--- a/crates/erp-server/tests/integration/test_fixture.rs
+++ b/crates/erp-server/tests/integration/test_fixture.rs
@@ -26,6 +26,7 @@ impl TestApp {
            db: test_db.db().clone(),
            event_bus: EventBus::new(100),
            crypto: PiiCrypto::dev_default(),
+            jwt_secret: "test-jwt-secret-for-integration-tests".to_string(),
        };
        let dialysis_state = DialysisState {
            db: test_db.db().clone(),