2026-04-30-REQ-USR-004.md 2.83 KB

Edit Raw Blame History Permalink



req_id: REQ-USR-004
date: 2026-04-30
round: 1


reviewer: superpower-code-reviewer


Review: REQ-USR-004 — round 1


结论

approve


Must-fix

（无）


Nice-to-have


backend/src/main/java/com/xly/erp/module/mod/service/impl/ModuleServiceImpl.java:33 + UserServiceImpl.java:72 — 移除 fallback 后 private final StubSecurityProperties stub 字段已无引用。按 CLAUDE.md surgical-changes 原则建议删除字段 + 构造器参数（测试 setUp 也需同步）。本期保留亦可，留做后续 housekeeping。
backend/src/test/java/com/xly/erp/module/usr/security/LoginAttemptStoreTest.java:44-59 — lockExpiresAfterDuration 只验证另一个 fresh user 在 T+20min 未锁，未驱动同 userName 跨过 lockExpireAt 验证 records.remove 自动清除路径。spec line 117 loginAfterLockExpired_resetsCounter 要求；建议加测试用 Clock 推进到 T+15min 以上的同 key 路径。
ModuleControllerIT / UserControllerIT 的 PUT 无 JWT 闭环回归断言只覆盖单列（sModuleNameZh / sUserName）unchanged；建议同时断 sCreatedBy / tCreateDate 也保持以增强回归覆盖。
backend/src/main/java/com/xly/erp/module/usr/dto/LoginDTO.java:17 — version 字段标 @NotBlank，但 spec § 输入 写"version 仅记录, 不参与校验"。建议二选一：去 @NotBlank 或更新 spec 标注必填。
backend/src/test/java/com/xly/erp/module/usr/controller/AuthControllerIT.java loginWithEmptyBody_returns40001 发空对象同时触发 3 个 @NotBlank；建议细粒度补一个仅缺 sUserName 的负例，验证 GlobalExceptionHandler 的字段定位文案。
AuthControllerIT.loginAfter5WrongPasswords (line 127) 的 loginAttemptStore.clearFailures("锁定用户") 在测试体末尾才执行；assertion 失败时跳过会污染跨测试状态。建议挪到 @AfterEach 或用唯一 userName。


反例 / 测试覆盖缺口

Phase A: 5 controller IT + 9 service 单测 + 5 store 单测 + 2 mapper IT 全部到位。
Phase B: 4 ModuleControllerIT + 3 UserControllerIT stub 闭环全部更新。


SecurityConfig 收紧到仅 POST /api/usr/auth/login permitAll，其余 authenticated；JwtAuthenticationEntryPoint 把未认证转 code=20001。
service 层 stub.getStubUserNo() 引用和 // REQ-MOD-001 stub: see USR-004 follow-up 锚点全部从代码中清除（grep 0 结果）。
JWT 双 token：accessToken 8h / refreshToken 30d，二者 subject 相同但内容不同。
锁定路径：密码正确但锁定中仍返回 42301（spec § 业务规则 #4 ✓）。
信息泄漏防护：用户不存在 / 密码错均返回 40101（不区分）。
LoginVO 排除 sPasswordHash，AuthControllerIT 显式断言 data.user.has("sPasswordHash") 为 false。
149/149 全绿（mvn test via scripts/test.sh）。


非阻塞缺口：见 nice-to-have 6 项，建议 module-report 阶段一次性批量补齐。