hms/docs/discussions/2026-04-27-miniprogram-audit-report.md

# HMS 小程序端审计报告

> 日期: 2026-04-27 | 审计范围: 代码审查 + API 链路实测 | 审计人: Claude

## 执行摘要

对 HMS 健康管理平台微信小程序端进行了全面审计，覆盖 **40 个页面、10+ 服务模块、2 个 Store**。通过代码静态分析 + 后端 API 实测，发现 **6 个严重问题、8 个中等问题、5 个低级问题**，以及 **3 个功能链路断链**。

### 关键数字

| 指标 | 值 |
|------|-----|
| 审计页面 | 40 个（含 8 个医护端） |
| 审计服务 | 12 个 API 服务文件 |
| 审计组件 | 6 个 |
| 严重问题 (HIGH) | 6 个 |
| 中等问题 (MEDIUM) | 8 个 + 3 个功能断链 |
| 低级问题 (LOW) | 5 个 |
| 正面发现 | 8 项 |

---

## 一、功能链路断链（实测发现）

### F1. [HIGH] 今日体征数据未反映刚录入的数据

**实测过程：**
1. `POST /health/patients/{id}/vital-signs` 成功创建记录（`heart_rate: 72`）
2. `GET /health/vital-signs/today` 仍返回所有字段 `null`

**根因分析：**
- `today` 端点依赖 JWT 中的 `user_id` 反查 `patient` 表的 `user_id` 字段
- 测试患者（张三）的 `user_id` 为 `null`（API 返回 `"user_id":null`），即该患者未关联登录账号
- 今日体征接口无法定位到正确的患者

**前端影响：**
- 用户在健康录入页提交数据后，返回首页或健康 Tab，"今日体征概览"区域仍然为空
- 用户体验严重断裂：**数据明明录入了，但看不到**

**修复建议：**
1. 前端：`today` 接口改用 `X-Patient-Id` header 传递当前选中患者的 ID（代码已实现 header 注入，但后端 `today` 端点未读取）
2. 后端：`vital_signs_today` handler 应优先使用 `X-Patient-Id` header 中的 patient_id

### F2. [HIGH] 积分/签到功能对未关联患者的用户完全不可用

**实测过程：**
- `GET /health/points/account` → 404 `"当前用户未关联患者档案"`
- `GET /health/points/checkin/status` → 404

**根因：** 积分、签到、兑换等患者端功能都依赖 `user_id → patient` 的关联查询。管理员账号没有对应的患者档案。

**前端影响：**
- 积分商城 Tab 页（5 个 Tab 之一）对未关联患者的用户显示为空白或报错
- **没有友好的降级提示**（如"请先完善个人档案"）

**修复建议：**
1. 前端：积分商城/签到页面需增加"未关联患者档案"的降级 UI
2. Auth store `restore()` 时检查是否有 `currentPatient`，无则引导用户建档

### F3. [MEDIUM] 文章列表返回草稿状态的文章

**实测过程：**
- `GET /health/articles` 返回 4 篇文章，其中 `status: "draft"` 的文章也被返回

**前端影响：** 患者端文章列表可能显示未发布的草稿文章。

**修复建议：**
1. 前端：`article.ts` 服务请求时添加 `status=published` 过滤参数
2. 后端：患者端文章列表 API 应默认只返回 `published` 状态的文章

---

## 二、安全审计发现

### 2.1 严重 (HIGH)

| # | 问题 | 文件 | 影响 |
|---|------|------|------|
| H1 | **Token 刷新竞态条件** | `services/request.ts:57-65` | 多个 API 同时 401 时，各自独立调用 `tryRefreshToken()`，可能导致 refresh token 被消耗多次，锁死用户 |
| H2 | **静态加密密钥无密钥派生** | `utils/secure-storage.ts:4` | 所有用户共享同一编译时烘焙的密钥，反编译小程序包即可解密全部本地存储数据 |
| H3 | **非生产环境明文回退** | `utils/secure-storage.ts:11-33` | 开发模式下 token/PII 明文存储在 localStorage |
| H4 | **Token 冗余暴露在 React State** | `stores/auth.ts:31-32` | Zustand store 持有 `token`/`refreshToken` 副本，与 secure storage 冗余，增加攻击面 |
| H5 | **登录无防重复点击保护** | `stores/auth.ts:53-75` | `login()` 函数无 `if (loading) return` 守卫，快速双击可触发两次登录请求 |
| H6 | **Analytics 绕过请求层** | `services/analytics.ts:67-73` | 直接调用 `Taro.request()`，无 Authorization header，无 token 刷新，BASE_URL 硬编码重复 |

### 2.2 中等 (MEDIUM)

| # | 问题 | 文件 | 影响 |
|---|------|------|------|
| M1 | **Logout 清理不完整** | `stores/auth.ts:120-129` | 残留 `wechat_openid`、`tenant_id`、`analytics_queue`、`edit_patient` 在 storage 中 |
| M2 | **PII 未加密存储** | `stores/auth.ts:62-64` | `user` 对象（含 id/phone）通过 `Taro.setStorageSync` 明文存储 |
| M3 | **开发日志含敏感数据** | `services/request.ts:50` | `console.log` 输出完整请求 body（可能含血压、血糖等健康数据） |
| M4 | **解密失败静默返回空串** | `utils/secure-storage.ts:31-33` | 无法区分"未登录"和"数据被篡改"两种情况 |
| M5 | **聊天轮询闭包过时** | `consultation/detail` 两个页面 | `pollNewMessages` 捕获的 `session` 状态可能过时，session 关闭后轮询可能继续 |
| M6 | **daily-monitoring 缺输入验证** | `health/daily-monitoring/index.tsx` | 无 Zod 验证，`parseFloat('999999')` 会被接受（对比 health/input 有完整 Zod） |
| M7 | **OpenID 明文存储** | `stores/auth.ts:68` | WeChat OpenID 敏感标识符通过明文 storage 存储 |
| M8 | **身份证号明文传递** | `profile/family/index.tsx:46` | 编辑患者时 `edit_patient`（含 `id_number`）通过明文 storage 传递给编辑页 |

### 2.3 低 (LOW)

| # | 问题 | 说明 |
|---|------|------|
| L1 | 18 处 `any` 类型 | auth 流程最集中（5 处 `as any`），绕过类型检查 |
| L2 | 聊天无指数退避 | 8s 固定间隔轮询，网络异常时产生大量无效请求 |
| L3 | 无客户端消息排序 | 假设服务端返回有序，无 `created_at` 排序 |
| L4 | devLogin 残留在产物中 | `services/auth.ts:47` 的开发登录函数未从生产构建中移除 |
| L5 | 大量静默 catch | 多处 `catch { }` 隐藏错误，影响生产问题排查 |

### 2.4 正面安全发现

- **XSS 防护完善**：零 `dangerouslySetInnerHTML`、零 `innerHTML`、零 `eval()`，所有用户内容通过 Taro `<Text>` 渲染
- **无硬编码密钥**：所有敏感配置通过环境变量注入
- **后端多租户隔离一致**：所有查询均含 `tenant_id` + `deleted_at IS NULL` 过滤
- **后端 CAS 并发控制**：预约、积分余额、库存、未读计数等关键操作使用乐观锁
- **后端 PII 加密存储**：身份证号、手机号、咨询消息等使用 AES + HMAC 可搜索加密
- **表单防重复提交**：所有表单使用 `submitting`/`loading` state + 按钮禁用
- **健康录入 Zod 验证**：`health/input` 页面使用完整的 Zod schema + 阈值警告
- **URL 参数编码**：`buildQuery` 正确过滤 undefined 并 `encodeURIComponent`

---

## 三、后端 API 数据结构实测

### 3.1 分页响应结构

后端统一返回结构（所有分页列表 API）：

```json
{
  "success": true,
  "data": {
    "data": [...],          // 实际数据数组
    "total": 6,
    "page": 1,
    "page_size": 10,
    "total_pages": 1
  }
}
```

前端 `request.ts` 提取 `body.data` 后得到 `{ data: [...], total, page, ... }`。
前端各 service 的泛型声明基本匹配此结构（如 `{ data: Patient[], total: number }`）。

**实测结论：前端 service 层的字段映射基本正确。** 但需注意：
- 部分页面可能直接用 `resp.items`（错误）而非 `resp.data`（正确）来访问列表数据
- 需要逐页验证页面层的消费代码

### 3.2 关键实体字段映射

| 实体 | 后端字段 | 前端期望 | 匹配状态 |
|------|----------|----------|----------|
| 商品积分价 | `points_cost` | `points_cost` | ✅ 匹配 |
| 咨询主题 | **无 `subject`/`title` 字段** | `subject` | ❌ 前端引用了不存在的字段 |
| 文章分类 | `category` (string) | `category` | ✅ 匹配 |
| 医生姓名 | `name` | `name` | ✅ 匹配 |
| 体征日期 | `record_date` | `record_date` | ✅ 匹配 |

### 3.3 咨询会话无 subject 字段

**实测发现：** 咨询会话实体后端字段为：
`id, patient_id, doctor_id, consultation_type, status, last_message_at, unread_count_patient, unread_count_doctor, created_at, updated_at, version`

**没有 `subject` 字段！** 前端会话列表页如果显示 `session.subject`，将渲染为 `undefined`。

---

## 四、代码质量与优化

### 4.1 包体积问题

**实测发现：** `pages/health/trend/index.js` 体积 **455 KiB**，原因是全量引入 ECharts。

**优化建议：**
1. 使用 `echarts/charts` 按需引入（仅 LineChart）
2. 或考虑小程序原生图表库（如 wx-charts）
3. 预计可减少 ~80% 的趋势页体积

### 4.2 架构优化建议

| 优先级 | 建议 | 说明 |
|--------|------|------|
| P0 | Token 刷新加锁 | 实现单例 Promise 模式避免并发刷新 |
| P0 | 积分商城降级 UI | 未关联患者时显示引导而非空白 |
| P1 | daily-monitoring 加 Zod | 与 health/input 对齐验证标准 |
| P1 | Analytics 复用 request.ts | 消除独立的 `Taro.request` 调用 |
| P1 | 文章列表过滤草稿 | 患者端只展示 published 文章 |
| P2 | 聊天轮询 → WebSocket | 后端 SSE 基础设施已规划 |
| P2 | ECharts 按需引入 | 趋势页 455KiB → ~90KiB |
| P2 | 类型安全强化 | auth store 消除 `as any` |
| P3 | 统一错误处理 | 静默 catch → console.warn + 上报 |

---

## 五、缺失功能 / TODO 清单

| 功能 | 状态 | 说明 |
|------|------|------|
| 模板消息 | TODO | `wechat-templates.ts` 模板 ID 全部为空 |
| 用药提醒 | 仅本地 | 无后端同步，换设备即丢失 |
| 文章 Tab | 注册但未使用 | `pages/article/index` 在 pages 列表但不在 tabBar |
| 医生排班日历 | API 存在 | 后端 `doctor-schedules/calendar` 已实现，前端调用需验证 |
| AI 报告 | 页面存在 | 需验证 erp-ai 模块集成后的实际数据渲染 |

---

## 六、修复优先级建议

### 立即修复（P0 — 影响用户体验/安全）

1. **F1: 今日体征数据不刷新** — 核心健康功能链路断裂
2. **H1: Token 刷新竞态** — 可能导致用户被锁死
3. **F2: 积分商城降级 UI** — Tab 页空白影响用户信任

### 短期修复（P1 — 1-2 周内）

4. **F3: 文章列表过滤草稿**
5. **H5: 登录防重复点击**
6. **H6: Analytics 复用请求层**
7. **M6: daily-monitoring 加 Zod 验证**
8. **咨询会话 subject 字段缺失处理**

### 中期优化（P2 — 迭代规划）

9. H2/H3: 存储加密加强
10. M1/M2/M7/M8: 存储清理 + PII 加密统一
11. 包体积优化（ECharts 按需引入）
12. 类型安全强化（消除 `any`）

---

## 七、附录：API 实测数据

### 数据库当前状态

| 实体 | 记录数 |
|------|--------|
| 患者 | 6 |
| 医生 | 2 |
| 预约 | 1（已完成） |
| 咨询会话 | 2（1 active, 1 waiting） |
| 随访任务 | 5（3 pending, 2 completed） |
| 文章 | 4（1 draft, 3 published） |
| 文章分类 | 2+ |
| 商品 | 1（Health Kit, 50 积分, 库存 100） |
| 医生排班 | 1（2026-04-28 AM, max 10, current 1） |
| 化验报告 | 0 |
| 线下活动 | 0 |

### 关键 ID（用于后续测试）

- 患者张三: `019dca49-1a88-7280-b44d-3ee5162b61ee` (user_id: null)
- 活跃咨询会话: `019dc2ac-235f-7550-a64c-3d66edfbf1ae`
- 已完成预约: doctor `019dc29b...`, date 2026-04-28

---

## 八、MCP 自动化页面渲染审计（实测补充）

> 使用 miniprogram-automator 通过 MCP 协议连接微信开发者工具，逐页导航验证渲染。

### 8.1 TabBar 页面（5/5 通过）

| 页面路径 | 状态 |
|----------|------|
| pages/index/index | OK |
| pages/health/index | OK |
| pages/consultation/index | OK |
| pages/mall/index | OK |
| pages/profile/index | OK |

### 8.2 患者端 + 医护端子页面（24/24 通过）

全部使用 `reLaunch` 逐页导航，无崩溃、无重定向到登录页：

| 页面路径 | 状态 |
|----------|------|
| pages/health/input/index | OK |
| pages/health/trend/index | OK |
| pages/health/daily-monitoring/index | OK |
| pages/appointment/index | OK |
| pages/appointment/create/index | OK |
| pages/article/index | OK |
| pages/ai-report/list/index | OK |
| pages/followup/detail/index | OK |
| pages/consultation/detail/index | OK |
| pages/mall/orders/index | OK |
| pages/profile/family/index | OK |
| pages/profile/reports/index | OK |
| pages/profile/followups/index | OK |
| pages/profile/medication/index | OK |
| pages/profile/settings/index | OK |
| pages/legal/user-agreement | OK |
| pages/legal/privacy-policy | OK |
| pages/doctor/index | OK |
| pages/doctor/patients/index | OK |
| pages/doctor/consultation/index | OK |
| pages/doctor/followup/index | OK |
| pages/doctor/report/index | OK |
| pages/events/index | OK |
| pages/device-sync/index | OK |

### 8.3 详情页（假 ID 优雅降级，11/11 通过）

使用 UUID `00000000-0000-0000-0000-000000000000` 测试，所有页面不崩溃、显示空状态或加载中：

| 页面路径 | 状态 |
|----------|------|
| pages/appointment/detail/index?id=... | OK |
| pages/article/detail/index?id=... | OK |
| pages/report/detail/index?id=... | OK |
| pages/ai-report/detail/index?id=... | OK |
| pages/mall/detail/index?id=... | OK |
| pages/mall/exchange/index?id=... | OK |
| pages/profile/family-add/index | OK |
| pages/doctor/patients/detail/index?id=... | OK |
| pages/doctor/consultation/detail/index?id=... | OK |
| pages/doctor/followup/detail/index?id=... | OK |
| pages/doctor/report/detail/index?id=... | OK |

### 8.4 MCP 审计结论

**40/40 页面全部正常渲染**，无白屏、无崩溃、无意外重定向。详情页对无效 ID 参数均能优雅降级。

### 8.5 关于积分 API 404 的补充说明

上一轮审计中 `GET /health/points/account` 等 4 个端点返回 404，经查：
- 路由已正确注册在 `crates/erp-health/src/module.rs:454-484`
- 404 原因是 `resolve_patient_id()` 查找 admin 用户的关联患者档案失败
- 这是应用层 404（"当前用户未关联患者档案"），不是路由缺失
- 属于预期行为：积分端点设计为患者端使用，管理员账号无患者档案