zyc/lty
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs(qy_lty): 定义 Milestone v1.0 需求(CRED-01~06)

Browse Source 
通用凭据槽位 6 项 Active 需求:
- CRED-01 单例模型 + 迁移(pk=1 强制约束)
- CRED-02 Django Admin 注册(脱敏列表 + 编辑明文 + 隐藏新增)
- CRED-03 管理端 GET(admin token 鉴权,Access Token 末 4 位掩码)
- CRED-04 管理端 PUT(admin token 鉴权,全字段覆写 + get_or_create)
- CRED-05 客户端 GET(user token 鉴权,明文返回供手机/设备端使用)
- CRED-06 阿里云日志过滤(PUT 请求体 + admin GET 响应体两条泄露路径)

候选优先级段保留为下一周期参考。
This commit is contained in:
pmc 2026-05-07 16:29:19 +08:00
parent ab3d728a08
commit 8ae12ca86c
1 changed files with 13 additions and 10 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

23
qy_lty/.planning/REQUIREMENTS.md
View File

@ -89,19 +89,22 @@
## Active当前 milestone 目标)
**(暂无)**
**Milestone v1.0通用凭据槽位APP ID + Access Token**
启动日期2026-05-07
目标:后端提供全局单例凭据存储;管理端可读写;手机端 + 设备端可读取。
本次 `/gsd-new-project` 是 brownfield 文档化,没有指定新 milestone。
### 通用凭据槽位CRED
下一次启动新功能开发时,请用:
- [ ] **CRED-01** 单例 `CredentialSlot` Django 模型 + 迁移DB 层强制最多一条记录(`pk=1` 固定主键或单字段唯一约束);含 `app_id``access_token``updated_at` 字段
- [ ] **CRED-02** Django Admin 注册:列表态/查看态对 `access_token` 字段脱敏;新增/编辑态可见明文(运营录入需要);隐藏"新增"按钮(强制单例语义)
- [ ] **CRED-03** 管理端 GET `/api/v1/admin/credential-slot/`admin token 鉴权(`admin_token:{token}` Redis key 体系);返回 `{ app_id, access_token: <masked>, updated_at }`Access Token 仅返回末 4 位脱敏掩码
- [ ] **CRED-04** 管理端 PUT `/api/v1/admin/credential-slot/`admin token 鉴权;接受 `{ app_id, access_token }` 全字段覆写更新;空记录场景自动 `get_or_create`;变更写入 `updated_at`
- [ ] **CRED-05** 客户端 GET `/api/credential-slot/`user token 鉴权(`token:{token}` Redis key 体系,复用 `RedisTokenAuthentication`**明文**返回 `{ app_id, access_token, updated_at }`(手机端 / 设备端实际调用第三方服务需要)
- [ ] **CRED-06** Access Token 日志过滤:阿里云日志格式化器 / 自定义日志过滤器中识别 `access_token` 字段并脱敏,覆盖 PUT 请求体、admin GET 响应体两条最易泄露路径
```
/gsd-new-milestone
```
### 候选优先级(已转移自 brownfield 文档化阶段,本期不消化)
GSD 会引导你确认 milestone 目标、把新需求加到本段(带 REQ-ID然后 `/gsd-plan-phase` 拆 phase。
**候选优先级**(来自 CONCERNS.md 与项目活动信号,按风险/价值排序,仅供参考):
下面是从 CONCERNS.md 转过来的潜在 milestone 候选,本期 v1.0 不处理,留作下一周期参考:
1. **HIGH** 修复 `ACH-02` 成就条件校验缺失 — 当前任意客户端可主张任意成就
2. **HIGH** 修复 SMS 验证码无频率限制 — 生产 DoS 向量
@ -135,4 +138,4 @@ GSD 会引导你确认 milestone 目标、把新需求加到本段(带 REQ-ID
---
*Last updated: 2026-05-07 after brownfield documentation pass*
*Last updated: 2026-05-07 启动 Milestone v1.0「通用凭据槽位」*