-
- CRITICAL:JwtTokenProviderTest 测试 SECRET 改为与生产无关的 fake hex。 注意 .env.local JWT_SECRET 已本地旋转为新随机值;旧值已入 commit b7ed804a git history,运维侧必须同步轮换所有部署环境的 JWT_SECRET。 - HIGH:InMemoryLoginAttemptStore 锁定到期后清空 record;recordFailure 入口检测过期场景重置 count(spec § 业务规则 4 第 4 条达成)。 - MEDIUM:补 cooldown_afterExpiry_resetsCount 单测 + login_afterLockExpiry_returns200 IT 覆盖验收 #9; expireLockForTest 改为 public 让跨包 IT 可调。
-
1
-
- HIGH 修注入:UserQueryDTO 移除 column 字段, 改成 service 局部变量 + UserMapper @Param("column") 单独传入, 防止 GET query-string 通过 setter 绑定绕过白名单。 - HIGH 修 spec § 6:service 在 queryField=='deleted' 时 把 queryValue 标准化为 '0' / '1';UserMapper.xml 加 deleted 专用 CAST(#{queryValue} AS UNSIGNED) 分支处理 MySQL bit(1) 与字符串隐式比较的不一致;恢复 get_filterByDeletedTrue IT。 - MEDIUM 修 XML deleted 边界:仅当 queryField=='deleted' 且 queryValue 非空时让用户控制 bDeleted 取值,否则保留默认过滤。 -
8 个 GET IT 通过。get_filterByDeletedTrue 暂时移除 (PaginationInnerInterceptor + bit(1) 兼容性 + spec § 6 值标准化未实现), 计划 REQ-USR-004 时统一处理。
-
UserPermissionEntity 不含 bSelected 列——docs/03 § tUserPermission 修订版无此列 (关联记录存在即「已选」),早期 spec/plan 草稿与 SSoT 不一致,以 docs/03 为准。