Developer
|
942465b758
|
feat: 全量更新前后端代码及文档 - 社区/定制/优惠券/活动/会员等模块
|
2026-03-21 18:35:41 +08:00 |
|
Developer
|
a8aaf15bfb
|
feat(compensation): 实现MQ补偿机制(Outbox Pattern) + 安全审计修复
- 新增 compensation_tasks 表 + CompensationTask 实体 + Repository
- 新增 CompensationService 补偿任务写入服务
- 新增 CompensationScheduler 定时扫描(CAS抢占+指数退避+失败告警+清理)
- 改造 OrderServiceImpl/AdminServiceImpl 4处 afterCommit catch → 写补偿表
- 移除 OrderServiceImpl 未使用的 transactionTemplate
- PointsServiceImpl 添加缺失的 @Slf4j
- MapperScan 添加 compensation 包扫描
- 审计修复: Class.forName白名单校验、markSuccess/markRetryOrFailed添加status前置条件、CAS后重查防stale snapshot
- 更新待实现功能清单
|
2026-03-21 14:31:45 +08:00 |
|
Developer
|
233b8d72e6
|
test: 添加后端单元测试87项,覆盖安全修复和核心业务逻辑
测试类:
- FileUploadSecurityTest (56项): P0-S1文件扩展名/MIME/上传类型白名单验证
- OrderServiceImplTest (12项): P1-C3支付CAS幂等性、P1-B3重复购买校验、P1-C1 N+1修复、取消订单
- ClientIpExtractionTest (6项): P1-S6 X-Forwarded-For IP伪造防护
- OpenRedirectTest (13项): P1-S5 Open Redirect校验
全部87项测试通过,BUILD SUCCESS
|
2026-03-19 12:46:46 +08:00 |
|
Developer
|
80d54c53a0
|
fix: 全面代码审计修复 P0/P1/P2 共16项安全与质量问题
P0 安全漏洞修复(4项):
- S1: FileUploadController 添加文件扩展名+MIME类型+上传type白名单(防RCE)
- S2: FileUploadController 添加@RequiresRole强制认证(防认证绕过)
- S3: Actuator仅暴露health端点, SecurityConfig denyAll非health
- S4: Swagger添加SWAGGER_ENABLED环境变量控制, 移除认证排除路径
P1 高危问题修复(7项):
- S5: login.vue Open Redirect校验
- S6: UserController X-Forwarded-For改为优先X-Real-IP
- S9: WebMvcConfig 移除notifications过度排除
- S11: UserController updateProfile添加@Valid
- C1: OrderServiceImpl N+1查询改为批量IN查询+OrderItem快照
- C3: OrderRepository CAS幂等性保护(casUpdateStatus)
- B3: OrderServiceImpl 添加Skill重复购买校验
P2 改进(5项):
- C2: order.js 移除前端paymentNo生成
- C5: order.js pageSize从100改为20
- F2: apiService.js admin token不回退到用户token
- B4: AdminController verifyToken支持admin+super_admin
- S10: CustomizationController 添加@Valid校验
额外修复:
- pom.xml 添加spring-boot-starter-aop依赖(解决编译错误)
- 审计报告追加修复记录章节, 项目评级B+升至A-
|
2026-03-19 12:31:53 +08:00 |
|
Developer
|
70bedcf241
|
Initial commit
|
2026-03-17 12:09:43 +08:00 |
|