lijiaoqiao/reports/token_runtime_implementation_gap_review_2026-03-27.md

Token 真实实现差距审计报告（2026-03-27）

1. 审计目标

验证“系统真实 token 相关功能是否已开发并可用于 staging/生产验收”。

2. 审计范围

1. 仓库业务实现代码（排除竞品样例目录）。
2. 可部署工件与运行入口（Dockerfile、compose、构建清单）。
3. 供应侧联调执行链路与环境探测结果。

3. 审计方法

1. 扫描仓库目录结构与可执行源码文件。
2. 扫描与 token/bearer/jwt/key 相关实现位置。
3. 交叉核对 staging 发现报告与 SUP Gate 执行证据。

4. 关键事实证据

1. 业务仓库（不含 llm-gateway-competitors/）内，仅发现一份可执行代码：
   • scripts/mock/supply_gateway_mock_server.py
2. 业务仓库（不含 llm-gateway-competitors/）未发现后端工程入口与部署工件：
   • 未发现 Dockerfile、docker-compose.yml、pom.xml、go.mod、package.json（业务实现级）
3. scripts/supply-gate/.env 仍为占位 token，未具备真实短期凭证：
   • OWNER_BEARER_TOKEN="replace-me-owner-token"
   • VIEWER_BEARER_TOKEN="replace-me-viewer-token"
   • ADMIN_BEARER_TOKEN="replace-me-admin-token"
4. staging 发现报告确认本机服务并非立交桥供应侧 API，目标接口返回 404：
   • 证据：reports/supply_staging_discovery_2026-03-27.md
5. SUP-004~SUP-007 当前通过结论来源于 local-mock，不是 staging 实服：
   • 证据：reports/supply_gate_review_2026-03-31.md

5. 审计结论

结论：“真实 token 相关功能未开发完成（至少未形成可验证运行态实现）”的判断成立。

说明：

1. 当前仓库已具备 PRD/OpenAPI/DDL/脚本与 mock 验证链路。
2. 但缺少可部署的业务后端实现与真实环境可验证证据。
3. 因此不能将当前 PASS（mock）外推为 staging/生产 PASS。

6. 风险评级

风险ID	等级	描述	影响
TOK-REAL-001	P0	token 相关能力停留在文档/mock，缺生产运行态实现	发布决策误判、上线失败
TOK-REAL-002	P0	无真实环境鉴权链路证据，M-013~M-016 缺生产口径闭环	安全边界不可证明
TOK-REAL-003	P1	缺实现级依赖与版本锁定工件	可重复构建与可追溯性不足

7. 整改准入条件（进入生产 GO 前）

1. 交付可部署后端实现（鉴权、token 生命周期、审计日志、边界拦截）。
2. 提供 staging 可达地址与真实短期 token，跑通 SUP-004~SUP-007。
3. 用 staging 证据替换全部 PASS（mock） 结论。
4. 回填 M-013~M-016 实测值，并保留 7 天连续观测。