diff --git a/docs/08-模块任务管理.md b/docs/08-模块任务管理.md index 3c68d7e..b9bd6de 100644 --- a/docs/08-模块任务管理.md +++ b/docs/08-模块任务管理.md @@ -73,4 +73,4 @@ - [x] REQ-USR-001 用户新增 - [x] REQ-USR-002 用户修改 - [x] REQ-USR-003 用户查询 - - [ ] REQ-USR-004 用户登录 + - [x] REQ-USR-004 用户登录 diff --git a/docs/superpowers/reviews/2026-04-30-REQ-USR-004.md b/docs/superpowers/reviews/2026-04-30-REQ-USR-004.md new file mode 100644 index 0000000..124026d --- /dev/null +++ b/docs/superpowers/reviews/2026-04-30-REQ-USR-004.md @@ -0,0 +1,37 @@ +--- +req_id: REQ-USR-004 +date: 2026-04-30 +round: 1 +reviewer: superpower-code-reviewer +--- + +# Review: REQ-USR-004 — round 1 + +## 结论 +approve + +## Must-fix +(无) + +## Nice-to-have + +- backend/src/main/java/com/xly/erp/module/mod/service/impl/ModuleServiceImpl.java:33 + UserServiceImpl.java:72 — 移除 fallback 后 `private final StubSecurityProperties stub` 字段已无引用。按 CLAUDE.md surgical-changes 原则建议删除字段 + 构造器参数(测试 setUp 也需同步)。本期保留亦可,留做后续 housekeeping。 +- backend/src/test/java/com/xly/erp/module/usr/security/LoginAttemptStoreTest.java:44-59 — `lockExpiresAfterDuration` 只验证另一个 fresh user 在 T+20min 未锁,未驱动同 userName 跨过 lockExpireAt 验证 records.remove 自动清除路径。spec line 117 `loginAfterLockExpired_resetsCounter` 要求;建议加测试用 Clock 推进到 T+15min 以上的同 key 路径。 +- ModuleControllerIT / UserControllerIT 的 PUT 无 JWT 闭环回归断言只覆盖单列(sModuleNameZh / sUserName)unchanged;建议同时断 sCreatedBy / tCreateDate 也保持以增强回归覆盖。 +- backend/src/main/java/com/xly/erp/module/usr/dto/LoginDTO.java:17 — `version` 字段标 `@NotBlank`,但 spec § 输入 写"version 仅记录, 不参与校验"。建议二选一:去 @NotBlank 或更新 spec 标注必填。 +- backend/src/test/java/com/xly/erp/module/usr/controller/AuthControllerIT.java `loginWithEmptyBody_returns40001` 发空对象同时触发 3 个 @NotBlank;建议细粒度补一个仅缺 sUserName 的负例,验证 GlobalExceptionHandler 的字段定位文案。 +- AuthControllerIT.loginAfter5WrongPasswords (line 127) 的 `loginAttemptStore.clearFailures("锁定用户")` 在测试体末尾才执行;assertion 失败时跳过会污染跨测试状态。建议挪到 @AfterEach 或用唯一 userName。 + +## 反例 / 测试覆盖缺口 + +Phase A: 5 controller IT + 9 service 单测 + 5 store 单测 + 2 mapper IT 全部到位。 +Phase B: 4 ModuleControllerIT + 3 UserControllerIT stub 闭环全部更新。 +- SecurityConfig 收紧到仅 `POST /api/usr/auth/login` permitAll,其余 authenticated;JwtAuthenticationEntryPoint 把未认证转 `code=20001`。 +- service 层 `stub.getStubUserNo()` 引用和 `// REQ-MOD-001 stub: see USR-004 follow-up` 锚点全部从代码中清除(grep 0 结果)。 +- JWT 双 token:accessToken 8h / refreshToken 30d,二者 subject 相同但内容不同。 +- 锁定路径:密码正确但锁定中仍返回 42301(spec § 业务规则 #4 ✓)。 +- 信息泄漏防护:用户不存在 / 密码错均返回 40101(不区分)。 +- LoginVO 排除 sPasswordHash,AuthControllerIT 显式断言 `data.user.has("sPasswordHash")` 为 false。 +- 149/149 全绿(mvn test via scripts/test.sh)。 + +非阻塞缺口:见 nice-to-have 6 项,建议 module-report 阶段一次性批量补齐。