hms/docs/discussions/2026-04-28-comprehensive-qa-review.md

# HMS 全面质量保证与代码审查报告

> 日期: 2026-04-28 | 审查范围: 后端 Rust (15 crate) + Web 前端 (133 文件) + 微信小程序 (40 页面)

## 一、构建/测试基线

| 检查项 | 结果 | 详情 |
|--------|------|------|
| `cargo check` | PASS | 12 个 warning（erp-plugin 11 个 + erp-server 1 个 dead_code） |
| `cargo test --workspace` | **FAIL** | 52 passed / **101 failed** / 0 ignored |
| `pnpm build` (Web) | PASS | 大型 chunk 警告 (antd 1.5MB, charts 1.4MB, editor 799KB) |
| `cargo clippy` | 未运行 | — |
| `cargo fmt --check` | 未运行 | — |

### 集成测试失败根因

PostgreSQL `max_connections = 100`，但 153 个集成测试并行执行时每个需要 2+ 连接（创建独立数据库 + 迁移），总量远超连接上限。**单独运行时所有测试通过**，这是测试并行化问题而非代码 bug。

**修复方案：**
1. 设置 `cargo test -- --test-threads=4` 限制并行度
2. 或在 `TestDb::new()` 中使用信号量控制同时创建数据库的数量
3. 或将测试改为共享数据库 + 事务回滚模式

---

## 二、问题总览

| 来源 | CRITICAL | HIGH | MEDIUM | LOW | 合计 |
|------|----------|------|--------|-----|------|
| 后端 Rust | 2 | 8 | 7 | 4 | 21 |
| Web 前端 | 3 | 6 | 7 | 6 | 22 |
| 微信小程序 | 3 | 6 | 8 | 7 | 24 |
| 安全专项 | 2 | 4 | 4 | 1 | 11 |
| **去重合并后** | **6** | **14** | **16** | **10** | **~46** |

> 注：后端和安全专项有交叉（RLS SQL 注入等），已去重。

---

## 三、CRITICAL — 必须立即修复

### [C-01] RLS 中间件 SQL 拼接（后端+安全）
- **文件**: `crates/erp-server/src/middleware/tenant_rls.rs:26-29`
- **问题**: `format!("SET app.current_tenant_id = '{}'", tid)` 使用字符串拼接 SQL，虽然当前 `tid` 是 UUID 类型限制了注入风险，但违反安全编码原则
- **修复**: 使用参数化查询 `Statement::from_sql_and_values`

### [C-02] follow_up_service SQL 拼接（后端+安全）
- **文件**: `crates/erp-health/src/service/follow_up_service.rs:74-81`
- **问题**: 直接 `format!` 拼接 UUID 到 SQL IN 子句
- **修复**: 改用 SeaORM `is_in` 过滤器

### [C-03] SSE Token 键名错误（前端）
- **文件**: `apps/web/src/stores/message.ts:75`
- **问题**: `localStorage.getItem('token')` 但 token 存储键名是 `access_token`，导致 SSE 消息推送从未连接
- **修复**: 改为 `localStorage.getItem('access_token')`

### [C-04] AES 加密密钥硬编码到小程序 bundle（小程序）
- **文件**: `apps/miniprogram/config/index.ts:16`
- **问题**: `defineConstants` 将加密密钥作为字符串字面量注入到 JS bundle，反编译即可获取
- **修复**: 改用运行时安全配置接口获取，或评估本地加密的必要性

### [C-05] PII 数据明文传输/展示（小程序）
- **文件**: `apps/miniprogram/src/services/patient.ts`
- **问题**: 手机号、身份证号等 PII 数据从 API 明文返回，前端直接展示
- **修复**: 后端返回脱敏数据（掩码处理），前端展示时脱敏

### [C-06] 清除缓存破坏认证状态（小程序）
- **文件**: `apps/miniprogram/src/pages/profile/settings/index.tsx:16`
- **问题**: `handleClearCache` 保留 user/tenant_id 但未保留 access_token/refresh_token，导致认证不一致
- **修复**: preservedKeys 包含所有认证相关键名，或直接调用 logout()

---

## 四、HIGH — 应尽快修复

### 后端

| # | 问题 | 文件 | 说明 |
|---|------|------|------|
| H-01 | points_service.rs 1805 行 | `erp-health/src/service/points_service.rs` | 超出 800 行上限 2 倍+，应按业务域拆分 |
| H-02 | patient_service.rs 1048 行 | `erp-health/src/service/patient_service.rs` | 超出 800 行上限，应拆分标签/家庭成员管理 |
| H-03 | remove_doctor 缺少乐观锁 | `erp-health/src/service/patient_service.rs:766-795` | 其他删除操作都有 version 检查，此处遗漏 |
| H-04 | change_password 硬编码 version | `erp-auth/src/service/auth_service.rs:327` | `version = Set(2)` 硬编码，并发密码修改会覆盖 |
| H-05 | HealthError→AppError 转换丢失上下文 | `erp-health/src/error.rs:124` | DbError 映射到 Internal，唯一约束等语义丢失 |
| H-06 | HealthError::From\<AppError\> 语义倒置 | `erp-health/src/error.rs:135-139` | Unauthorized 被转为 Validation，语义错误 |
| H-07 | send_reminders 缺少 tenant_id | `erp-health/src/service/appointment_service.rs:563` | 查询所有租户预约，内存压力无控制 |
| H-08 | RLS RESET 后台 task 隔离 | `erp-server/src/middleware/tenant_rls.rs:39-44` | fire-and-forget task 可能丢失租户上下文 |

### 安全

| # | 问题 | 文件 | 说明 |
|---|------|------|------|
| H-09 | RLS 策略空字符串绕过 | `migration/m20260427_000086_enable_rls_all_tables.rs:30-32` | 空字符串时 RLS 不过滤，可能导致跨租户数据泄漏 |
| H-10 | 文件上传扩展名无白名单 | `erp-server/src/handlers/upload.rs:89-94` | 有 Content-Type + magic bytes 校验但缺少扩展名白名单 |
| H-11 | Rate Limiting fail-open | `erp-server/src/middleware/rate_limit.rs:126-129` | Redis 不可用时登录暴力破解保护完全失效 |
| H-12 | JWT Validation 默认配置 | `erp-auth/src/service/token_service.rs:148` | 未显式指定算法，未验证 issuer |

### 前端

| # | 问题 | 文件 | 说明 |
|---|------|------|------|
| H-13 | Token 存储在 localStorage | `apps/web/src/stores/auth.ts:54-56` | XSS 攻击可窃取，应迁移到 HttpOnly cookie |
| H-14 | ArticleEditor.tsx 554 行 | `apps/web/src/pages/health/ArticleEditor.tsx` | 超出 400 行推荐上限 |

### 小程序

| # | 问题 | 文件 | 说明 |
|---|------|------|------|
| H-15 | 双存储系统混用 | stores/auth.ts + services/request.ts | secure-storage 与 Taro.setStorageSync 混用 |
| H-16 | Token 刷新不同步 store | `services/request.ts:47-52` | 刷新失败删 token 但 store 中 user 仍非 null |
| H-17 | noImplicitAny 关闭 | `tsconfig.json:9` | 20+ 处 any 使用 |
| H-18 | buildCategoryTree 修改输入 | `services/article.ts:27-42` | 违反不可变原则 |
| H-19 | 401 redirectTo 在 tabBar 页面无效 | `services/request.ts:72` | 应使用 reLaunch |
| H-20 | 生产日志可能泄漏 | `services/request.ts:58-64` | IS_DEV 守卫依赖构建配置正确性 |

---

## 五、MEDIUM — 建议修复

| # | 领域 | 问题 | 文件 |
|---|------|------|------|
| M-01 | 后端 | handler 层泛型约束重复 50+ 次 | 所有 handler 文件 |
| M-02 | 后端 | stats_service date_trunc 硬编码重复 | stats_service.rs |
| M-03 | 后端 | RLS 空字符串匹配策略 | enable_rls_all_tables.rs |
| M-04 | 后端 | audit_service fire-and-forget 无错误反馈 | 多处 audit_service::record 调用 |
| M-05 | 后端 | DataScope 默认 All 过于宽松 | erp-core/src/rbac.rs:44-49 |
| M-06 | 后端 | HealthCrypto 与 PiiCrypto 重复实现 | erp-health/src/crypto.rs |
| M-07 | 后端 | seed.rs 表名未用 sanitize_identifier | erp-health/src/service/seed.rs |
| M-08 | 安全 | 小程序 AES ECB 模式暗示 | miniprogram/src/utils/secure-storage.ts:18 |
| M-09 | 安全 | dev_default() 无运行时保护 | erp-health/src/crypto.rs:40-51 |
| M-10 | 安全 | CORS permissive 模式 + credentials | erp-server/src/main.rs:660 |
| M-11 | 小程序 | 轮询无退避，8s 硬编码 | consultation/detail/index.tsx:15 |
| M-12 | 小程序 | current_patient_id 无权限校验 | services/request.ts:17-18 |
| M-13 | 小程序 | listPatients page_size:100 硬编码 | services/patient.ts:15-18 |
| M-14 | 小程序 | 咨询消息轮询竞态 | consultation/detail/index.tsx:49-71 |
| M-15 | 小程序 | listAppointments 重复定义 | doctor.ts + appointment.ts |
| M-16 | 小程序 | TrendChart canvasId 硬编码 | TrendChart/index.tsx:123 |

---

## 六、LOW — 可改进

| # | 领域 | 问题 |
|---|------|------|
| L-01 | 后端 | EventBus publish best-effort 可能丢失事件 |
| L-02 | 后端 | REDIS_AVAIL 全局静态影响测试隔离 |
| L-03 | 后端 | tag 验证 count 比对不处理重复 ID |
| L-04 | 后端 | CORS 缺少自定义头部 |
| L-05 | 安全 | 开发日志可能泄漏 API 路径 |
| L-06 | 小程序 | BLEManager 单例/类模式混用 |
| L-07 | 小程序 | Picker 使用 Web API (e.target.value) |
| L-08 | 小程序 | ErrorBoundary 使用 vh 单位兼容性 |
| L-09 | 小程序 | 50+ 处空 catch 块无日志 |
| L-10 | 小程序 | useDidShow cleanup 不生效 |
| L-11 | 小程序 | 科室列表硬编码 |
| L-12 | 小程序 | babel preset 放在 dependencies |

---

## 七、性能问题

### P-01. 前端 Bundle 体积过大

| Chunk | 大小 | 建议 |
|-------|------|------|
| vendor-antd | 1,530 KB | 按需导入 antd 组件，tree-shaking 检查 |
| vendor-charts | 1,458 KB | 动态 import，仅在统计页面加载 |
| vendor-editor | 799 KB | 动态 import，仅在文章编辑页加载 |

### P-02. 集成测试并行度过高
153 个测试同时创建数据库，PostgreSQL 连接耗尽。需限制 `--test-threads`。

### P-03. send_reminders 一次性加载所有租户预约
无分页/流式处理，租户数量增长后内存压力增大。

---

## 八、编译器 Warning 清单

| Warning | 文件 | 数量 | 类型 |
|---------|------|------|------|
| unused field `check_result` | erp-plugin (query_builder.rs) | 1 | dead_code |
| unused field `timestamp` | erp-server (analytics.rs) | 1 | dead_code |
| unused methods | erp-server test_fixture.rs | 3 | dead_code |
| multiple warnings | erp-plugin (lib) | 11 | unused imports/vars |

**建议**: `cargo fix --lib -p erp-plugin` 可自动修复 6 个。

---

## 九、值得肯定的实践

| 领域 | 实践 | 文件 |
|------|------|------|
| 密码存储 | Argon2 + 随机盐 | erp-auth/src/service/password.rs |
| Token 安全 | Refresh token SHA-256 哈希 + 使用后轮换 | erp-auth/src/service/token_service.rs |
| SQL 注入防护(插件) | sanitize_identifier + 参数化查询 | erp-plugin/src/dynamic_table.rs |
| XSS 防护 | 未使用 dangerouslySetInnerHTML | 全局确认 |
| 文件上传 | Content-Type + magic bytes 双重校验 | erp-server/src/handlers/upload.rs |
| 安全启动 | 拒绝默认密钥启动 | erp-server/src/main.rs:192-215 |
| 审计日志 | 登录/登出/密码修改均记录 | erp-auth/src/service/auth_service.rs |
| 账户锁定 | 5 次失败后 15 分钟锁定 | rate_limit.rs |
| PII 加密 | KEK/DEK 分层 + HMAC 索引 + 脱敏 | erp-core/src/crypto/ |
| 乐观锁 | 所有更新操作检查 version | erp-health 全模块 |
| 软删除 | 统一 deleted_at 字段 | erp-health 全模块 |
| 测试隔离 | 每个测试独立数据库 | test_db.rs |
| 前端状态 | Zustand store + 请求去重 | message.ts |
| 小程序 BLE | 适配器模式，接口抽象良好 | BLEManager.ts |

---

## 十、修复优先级建议

### P0 — 本周内修复（安全基线 + 功能 bug）

| # | 行动 | 预估工作量 |
|---|------|-----------|
| C-01 | RLS 中间件参数化查询 | 15 分钟 |
| C-02 | follow_up_service 改 SeaORM 查询 | 30 分钟 |
| C-03 | SSE token 键名修正 | 5 分钟 |
| H-09 | RLS 策略移除空字符串绕过 | 30 分钟 |
| H-11 | 登录端点 rate limit fail-close | 1 小时 |

### P1 — 两周内修复（代码质量 + 安全加固）

| # | 行动 | 预估工作量 |
|---|------|-----------|
| H-01 | points_service.rs 拆分 | 2 小时 |
| H-04 | change_password 乐观锁修复 | 30 分钟 |
| H-05/06 | 错误类型转换修复 | 2 小时 |
| H-12 | JWT Validation 显式配置 | 15 分钟 |
| H-16 | 小程序 token 刷新同步 store | 1 小时 |
| H-19 | 小程序 401 reLaunch | 30 分钟 |
| 集成测试 | 限制 --test-threads 或连接池 | 2 小时 |

### P2 — 一个月内修复（性能优化 + 体验改善）

| # | 行动 | 预估工作量 |
|---|------|-----------|
| P-01 | 前端 bundle 代码分割 | 4 小时 |
| C-04 | 小程序加密密钥方案重新评估 | 2 小时 |
| C-05/06 | PII 脱敏 + 缓存清理 | 4 小时 |
| M-01~07 | 后端 MEDIUM 问题逐步修复 | 8 小时 |
| M-08~16 | 小程序 MEDIUM 问题逐步修复 | 6 小时 |

---

## 十一、测试覆盖空白

| 领域 | 当前状态 | 优先级 |
|------|---------|--------|
| erp-health service 层集成测试 | 153 个（并行问题） | P0 |
| erp-health handler 层测试 | 无 | P1 |
| 前端健康模块组件测试 | 仅 StatusTag | P1 |
| E2E 健康模块测试 | 无 | P1 |
| 小程序单元测试 | 无 | P2 |
| 性能/负载测试 | 无 | P2 |

---

*报告生成时间: 2026-04-28*
*审查工具: cargo check/test, pnpm build, 4 个并行专项审查 agent*