niuniu/lijiaoqiao
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
50225f68224dfb8799d3c38bbb21d01f91ab4df0
lijiaoqiao/supply-api/internal
History
Your Name 50225f6822 fix: 修复4个安全漏洞 (HIGH-01, HIGH-02, MED-01, MED-02) 
- HIGH-01: CheckScope空scope绕过权限检查
  * 修复: 空scope现在返回false拒绝访问

- HIGH-02: JWT算法验证不严格
  * 修复: 使用token.Method.Alg()严格验证只接受HS256

- MED-01: RequireAnyScope空scope列表逻辑错误
  * 修复: 空列表现在返回403拒绝访问

- MED-02: Token状态缓存未命中时默认返回active
  * 修复: 添加TokenStatusBackend接口,缓存未命中时必须查询后端

影响文件:
- supply-api/internal/iam/middleware/scope_auth.go
- supply-api/internal/middleware/auth.go
- supply-api/cmd/supply-api/main.go (适配新API)

测试覆盖:
- 添加4个新的安全测试用例
- 更新1个原有测试以反映正确的安全行为
2026-04-03 07:52:41 +08:00
..
audit
feat(P1/P2): 完成TDD开发及P1/P2设计文档
2026-04-02 23:35:53 +08:00
cache
fix(supply-api): 修复编译错误和测试问题
2026-04-01 13:03:44 +08:00
config
feat(supply-api): 完成核心模块实现
2026-04-01 08:53:28 +08:00
domain
fix(supply-api): 修复编译错误和测试问题
2026-04-01 13:03:44 +08:00
httpapi
fix(supply-api): 修复编译错误和测试问题
2026-04-01 13:03:44 +08:00
iam
fix: 修复4个安全漏洞 (HIGH-01, HIGH-02, MED-01, MED-02)
2026-04-03 07:52:41 +08:00
middleware
fix: 修复4个安全漏洞 (HIGH-01, HIGH-02, MED-01, MED-02)
2026-04-03 07:52:41 +08:00
repository
fix(supply-api): 修复编译错误和测试问题
2026-04-01 13:03:44 +08:00
storage
fix(supply-api): 修复编译错误和测试问题
2026-04-01 13:03:44 +08:00