hms/docs/superpowers/plans/2026-04-26-security-defense-in-depth.md

# 安全纵深防御实施计划

> 设计规格: `docs/superpowers/specs/2026-04-26-security-defense-in-depth-design.md`
> 日期: 2026-04-26 | 状态: draft | 总周期: 2-3 周

---

## Phase 1: PostgreSQL RLS 安全网（Week 1）

### Task 1: 创建 RLS 策略迁移

**涉及文件**: `crates/erp-server/migration/src/m000073_enable_rls_all_tables.rs`（新增）, `lib.rs`

**步骤**: 对所有含 tenant_id 的表（30 基础 + 34 健康）执行 `ALTER TABLE ENABLE ROW LEVEL SECURITY` + `CREATE POLICY tenant_isolation USING (tenant_id = current_setting('app.current_tenant_id')::uuid)` + `CREATE POLICY tenant_bypass USING (current_user IN ('erp_admin', 'erp_migration'))`。创建 `erp_app` 数据库角色。down 方法完整回退。

**验收**: 迁移执行成功；以 erp_app 角色未设置 tenant_id 时查询返回空；现有应用行为不变。

### Task 2: Axum middleware 设置当前连接的 tenant_id

**涉及文件**: `crates/erp-server/src/middleware/tenant.rs`

**步骤**: tenant 中间件从 JWT 解析 tenant_id 后执行 `SET LOCAL app.current_tenant_id = '<id>'`。确认在事务内执行（SeaORM 显式事务包装或 session 级 SET + RESET）。添加 tracing 日志记录注入状态。SET LOCAL 失败时 warn 但不阻断请求。

**验收**: 注入后以 erp_app 角色查询自动按 tenant_id 过滤；`cargo test --workspace` 通过。

### Task 3: 验证现有测试不受影响

**涉及文件**: 可能修改测试辅助代码

**步骤**: 运行 `cargo test --workspace` 检查 RLS 导致的测试失败。分析失败原因（测试未设置 tenant_id → 查询返回空），在 TestDb/TestApp 初始化时注入 tenant_id。不修改任何业务逻辑代码。

**验收**: `cargo test --workspace` 全部通过。

---

## Phase 2: 行级数据范围 + session_key Redis（Week 2）

### Task 4: require_permission 增加 data_scope 过滤逻辑

**涉及文件**: `erp-core/src/types.rs`(TenantContext 增加 permission_data_scopes), `erp-core/src/rbac.rs`(apply_data_scope 函数), JWT 中间件, `erp-health/src/handler/mod.rs`

**步骤**: TenantContext 新增 `permission_data_scopes: HashMap<String, DataScope>`（枚举 All/Self/Department/DepartmentTree）。JWT 中间件查询 `role_permissions.data_scope` 填充。实现 `apply_data_scope(query, ctx, permission, owner_column, dept_column)` 按变体追加 filter。各 health handler 列表查询调用此函数。

**验收**: data_scope = Department 时查询自动追加部门过滤；未配置时默认 All 向后兼容。

### Task 5: 微信 session_key 从 HashMap 迁移到 Redis

**涉及文件**: `crates/erp-auth/src/service/wechat_service.rs`, `erp-server/src/app_state.rs`

**步骤**: 替换 `LazyLock<Mutex<HashMap>>` 为 Redis `SET wechat:session:{openid} {key} EX 300` / `GET + DEL`。Redis 连接池通过 AuthState 传入。添加 fallback：Redis 不可用时降级内存 HashMap 并 warn 日志。

**验收**: 小程序登录端到端通过；`cargo test -p erp-auth` 通过。

### Task 6: 小程序 openid 加密存储

**涉及文件**: `apps/miniprogram/src/utils/secure-storage.ts`（新增）, `stores/auth.ts`

**步骤**: 创建 AES 加密存储工具（setSecure/getSecure）。后端登录接口响应新增 `storage_key` 字段。auth.ts 中 openid 存储改用 `setSecure('openid', openid)`。

**验收**: `Taro.getStorageSync('openid')` 返回密文；小程序登录端到端通过。

---

## Phase 3: 健康检查增强 + 审计日志（Week 2-3）

### Task 7: /health/ready 增加 DB ping + Redis ping

**涉及文件**: `crates/erp-server/src/handlers/health.rs`

**步骤**: 添加 `sqlx::query("SELECT 1")` DB 检查 + `redis PING` 检查，使用 `tokio::join!` 并行。响应扩展 status(ok/degraded) + database + redis 字段。

**验收**: DB 不可用时返回 `status: "degraded"` + `database: "unreachable"`。

### Task 8: audit_logs 表增加 prev_hash 字段实现哈希链

**涉及文件**: `migration/src/m000074_audit_logs_hash_chain.rs`（新增）, `erp-core/src/audit.rs`

**步骤**: 迁移添加 `prev_hash TEXT` + `record_hash TEXT` 列。写入时查询最新 record_hash 作为 prev_hash，计算 `SHA256(id + action + resource_type + resource_id + created_at + prev_hash)` 作为 record_hash。添加完整性验证函数检测篡改。内存缓存最近 1000 条 record_hash 优化性能。

**验收**: 新审计日志含哈希链字段；修改记录后验证函数检测到链断裂；`cargo test` 通过。

---

## 执行原则

1. **每 Task 完成后立即提交** — 不积压
2. **Phase 1 最高优先** — RLS 是医疗数据合规红线
3. **RLS 迁移必须可回退** — down 方法完整恢复
4. **渐进式启用 data_scope** — 未配置默认 All，不破坏现有行为