docs: V1 测试版本全面端到端测试报告 + 专家评估 + wiki 更新
- 测试报告: 157 端点测试, Health 63% / AI+Dialysis+Plugin 92.4% - 专家评估: 产品7.3/架构7.6/安全7.0/测试4.1/UX7.6, 综合6.2 B- - CRITICAL×2: 空标签名500 + 媒体库路由冲突 - CONDITIONAL GO: 修复 P0 问题后可发布 Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
This commit is contained in:
iven
19
CLAUDE.md
19
CLAUDE.md
@@ -247,6 +247,21 @@
|
||||
- [ ] 枚举值变更 → 前端类型定义和 UI 映射同步更新
|
||||
- [ ] 后端新增端点 → 前端 API 模块同步添加调用函数,不允许留空
|
||||
|
||||
#### DTO 输入校验检查(强制)
|
||||
|
||||
> 历史数据:2026-05-19 全系统审计发现 44 处校验缺失。
|
||||
> 新增/修改 DTO 时**必须**逐项确认:
|
||||
|
||||
- [ ] 所有请求结构体已 `derive(Validate)`(包括 Update\*Req、查询参数)
|
||||
- [ ] Update\*Req 与 Create\*Req 校验对称(不允许 Update 降级)
|
||||
- [ ] 字符串字段有 `#[validate(length(min, max))]`
|
||||
- [ ] 枚举/类型字段有 `#[validate(custom)]` 限制合法值
|
||||
- [ ] 集合字段有 `#[validate(length(min = 1))]` 非空检查
|
||||
- [ ] 数值范围字段有 `#[validate(range(min, max))]`
|
||||
- [ ] URL 字段有 SSRF 防护(禁止 localhost/内网地址,仅 http/https)
|
||||
- [ ] 密码字段有 `max = 128` 防止 DoS
|
||||
- [ ] handler 层已调用 `req.validate().map_err(|e| AppError::Validation(e.to_string()))?`
|
||||
|
||||
### 3.4 事件总线
|
||||
|
||||
- 模块间通信**只能**通过 `EventBus`
|
||||
@@ -402,6 +417,9 @@ chore(docker): 添加 PostgreSQL 健康检查
|
||||
- ❌ **不要**跳过 Feature DoD — 每个功能标记"完成"前必须通过 §2.6 检查清单,不全面验证就提交 = 后续 5 次 fix(媒体库教训)
|
||||
- ❌ **不要**新增端点时默认放行 — 所有端点默认拒绝访问,必须显式声明权限(安全教训:25 次 fix 源于默认放行)
|
||||
- ❌ **不要**后端 DTO 变更不同步前端 — 字段名/路径/类型变更时必须同步更新前端 TypeScript 接口(35 次 fix 教训)
|
||||
- ❌ **不要**写 Update DTO 时省略校验 — Update*Req 必须与 Create*Req 校验对称(44 处缺失教训:Update 无 Validate derive / 枚举字段无 custom 校验 / Vec 无 min=1 / 密码无 max)
|
||||
- ❌ **不要**URL 字段不做 SSRF 防护 — 禁止 localhost/127.0.0.1/内网地址,仅允许 http/https 协议
|
||||
- ❌ **不要**handler 层跳过 `.validate()` — 所有 `Json<T>` handler 函数体第一行必须调 `req.validate().map_err(\|e\| AppError::Validation(e.to_string()))?`
|
||||
|
||||
### 场景化指令
|
||||
|
||||
@@ -412,6 +430,7 @@ chore(docker): 添加 PostgreSQL 健康检查
|
||||
- 当遇到**新增表** → 创建 SeaORM migration + Entity,包含所有标准字段
|
||||
- 当遇到**新增页面** → 使用 Ant Design 组件,i18n key 引用文案
|
||||
- 当遇到**新增业务模块插件** → 参考 `wiki/wasm-plugin.md` 的插件制作完整流程和 `.claude/skills/plugin-development/SKILL.md`,创建 cdylib crate + 实现 Guest trait + 编译为 WASM Component。**权限码必须与实体名一致(每个实体声明 `.list` + `.manage`)**
|
||||
- 当遇到**新增/修改 DTO** → 参考 `wiki/architecture.md` §4 DTO 输入校验规范:`derive(Validate)` + 字段级校验 + handler 层 `validate()` 调用 + 单元测试
|
||||
|
||||
---
|
||||
|
||||
|
||||
Reference in New Issue
Block a user