# 项目全面审查报告(2026-03-03) ## 审查范围与方法 - 范围:`src/`、`prisma/`、`Dockerfile`、`Jenkinsfile`、`README.md`、测试与构建脚本。 - 方式:静态审查 + 命令基线 + 关键链路手工走读(Panic 模式、房间投票、盲盒计划)。 - 执行过的基线命令: - `npm run lint` - `npm test` - `npx tsc --noEmit` - `npm run test:coverage` - `npm run build`(当前环境因无法访问 Google Fonts 未完全通过) ## 结论概览 - 发现高优问题(P0/P1):5 个 - 发现中优问题(P2):6 个 - 主要风险类型:业务功能中断、状态数据污染、鉴权边界不完整、敏感信息暴露、工程质量门禁缺失。 --- ## 关键问题(按优先级) ### P0-1 Panic 模式“手动加入房间”输入规则与后端房间 ID 规则不一致(功能性缺陷)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 前端改为 6 位字母数字房间号输入,统一转大写并过滤非法字符; - 后端 `POST /api/room/[id]/join` 增加房间号格式校验与标准化; - 补充校验与页面行为测试用例。 - 证据: - `src/app/panic/page.tsx:173`(要求长度必须为 4) - `src/app/panic/page.tsx:567`(`maxLength={4}`) - `src/app/panic/page.tsx:566`(仅允许数字) - `src/lib/roomRepository.ts:21`(实际房间 ID 生成规则为 6 位,且含字母) - 影响: - 用户无法通过手输房间号加入大多数房间(尤其是含字母的房间号)。 - 直接影响核心转化路径(邀请后加入房间)。 - 建议: - 前端加入输入改为 6 位字母数字(与 `ROOM_ID_CHARS` 一致); - 后端补充房间号格式校验与明确错误提示; - 增加 E2E 用例覆盖“手输邀请码加入”。 ### P0-2 投票接口未校验 `restaurantId` 是否属于房间候选列表(可污染房间状态)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `POST /api/room/[id]/swipe` 增加 `restaurantId` 必须属于当前房间候选列表的强校验; - 对非法 `restaurantId` 返回 400; - 增加对应 API 测试用例,防止状态污染回归。 - 证据: - `src/app/api/room/[id]/swipe/route.ts:25`(仅查 index) - `src/app/api/room/[id]/swipe/route.ts:32-42`(即使 `restaurantIndex === -1` 仍可写入 `likes` 并可能设置 `match`) - 影响: - 客户端可提交伪造 `restaurantId`,导致房间匹配结果异常或不可展示; - 状态污染会影响所有成员的结果一致性。 - 建议: - 在进入投票逻辑前强制校验 `restaurantIndex >= 0`,否则返回 400; - 对 `undo/reset` 等相关接口同步增加 ID 合法性校验; - 增加“非法 restaurantId”单测。 ### P1-1 `suggest-item` 接口缺失鉴权(可被匿名滥用,产生外部 API 成本)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `POST /api/blindbox/plan/suggest-item` 增加登录鉴权(无登录态返回 401); - 新增接口测试,覆盖“未登录拒绝访问”与“登录成功返回推荐”。 - 证据: - `src/app/api/blindbox/plan/suggest-item/route.ts:6-11`(无 `getAuthUserId` / 无 membership 校验) - 影响: - 任意匿名请求可触发 AI + 地图查询,存在成本与滥用风险。 - 建议: - 至少要求登录态;更稳妥是同时校验房间成员身份(若与房间上下文绑定); - 配合限流(IP + 用户维度)。 ### P1-2 API 错误响应直接回传内部异常细节(信息泄露)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `apiHandler` 对未知异常返回统一文案 `操作失败,请稍后重试`; - 内部异常细节仅保留在服务端日志; - 更新对应单元测试断言。 - 证据: - `src/lib/api.ts:63-65`(500 响应包含 `ErrorName: message`) - 影响: - 暴露内部实现信息、库错误细节、潜在环境配置线索; - 提升攻击者探测效率。 - 建议: - 客户端统一返回泛化错误文案; - 详细错误仅记录在服务端日志(可加 requestId 关联)。 ### P1-3 CI 配置中存在敏感信息硬编码【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `Jenkinsfile` 中地图 key 改为 `credentials('amap-api-key')`; - Webhook 触发 token 改为 `tokenCredentialId` 方式读取凭据; - 消除源码内硬编码敏感值。 - 证据: - `Jenkinsfile:6`(地图 key 常量) - `Jenkinsfile:11`(固定触发 token) - 影响: - 密钥泄露与流水线被外部触发的风险增加; - 密钥轮转和环境隔离困难。 - 建议: - 全部迁移到凭据系统(Jenkins Credentials / Secret Manager); - 触发 token 改为密文凭据并定期轮换。 --- ## 中优问题(P2) ### P2-1 SSE 成员校验逻辑未真正启用(前端未传 `userId`)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `useRoomPolling` 改为显式接收 `userId`,SSE 连接带上 `?userId=...`; - `room/[id]/page` 传入当前用户 ID; - `GET /api/room/[id]/events` 强制 `userId` 必填并做成员校验(无 userId 返回 401,非成员返回 403); - 更新 hook 测试覆盖 SSE URL 与缺失 userId 场景。 - 证据: - `src/app/api/room/[id]/events/route.ts:14-18`(仅在 query 存在 `userId` 时校验) - `src/hooks/useRoomPolling.ts:32`(实际建立 SSE 连接时未携带 `userId`) - 影响: - 只要知道房间 ID 即可订阅房间流事件(当前实现下)。 - 建议: - 改为服务端基于认证态校验,或强制 query/body 校验成员身份; - 前端补齐身份参数并确保不可伪造(推荐 token/cookie 方案)。 ### P2-2 “接受计划”前端逻辑乐观更新过早,且未检查 `res.ok`【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `handleAcceptPlan` 改为“后端成功后再更新 `planAccepted/activeContract`”; - 增加 `res.ok` 检查与失败错误提示; - 防止后端失败时前端误显示“已接受”。 - 证据: - `src/hooks/useBlindboxPlan.ts:227-240`(先 `setPlanAccepted(true)`,请求后不判断 `res.ok`) - 影响: - 后端失败时前端仍显示“已接受”,形成状态不一致。 - 建议: - 先请求成功再更新 `planAccepted/activeContract`; - 失败回滚并展示错误信息。 ### P2-3 TypeScript 基线不通过(测试代码类型漂移)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 修复 `createRequest` 与 `NextRequest` 构造参数类型不兼容问题; - 修复盲盒测试中的 Prisma 事务 mock 签名、SSE 计划 mock 返回结构; - 补齐路由测试上下文参数与测试数据类型字段(`reason`、`creatorId`、`isLoading/error`、`matchType`); - `npx tsc --noEmit` 已恢复通过。 - 证据: - 修复后执行 `npx tsc --noEmit` 已无报错。 - 影响: - 类型系统对回归的兜底失效;重构时风险上升。 - 建议: - 将 `tsc --noEmit` 纳入 CI 必跑; - 优先修复测试目录类型错误,确保类型门禁恢复。 ### P2-4 Lint 存在阻塞错误(React hooks 新规则触发)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 修复 `GlobalUserBadge`、`RestaurantCard`、`SwipeableCard`、`PageTransition`、`useGeolocation` 的 hooks 规则 error; - 修复页面文案中的未转义引号(`react/no-unescaped-entities`); - `npm run lint` 已恢复为 0 error(仍有 warning,后续可持续清理)。 - 证据: - 修复后执行 `npm run lint`:`0 errors / 29 warnings`。 - 代表性问题: - `src/components/SwipeableCard.tsx:81`(render 阶段注册副作用) - `src/components/GlobalUserBadge.tsx:23`(effect 内同步 setState) - `src/components/PageTransition.tsx:14`(render 期间 ref 访问) - `src/hooks/useGeolocation.ts:67`(effect 内直接触发状态写入路径) - 影响: - 渲染稳定性与性能风险;后续升级 React/Next 成本上升。 - 建议: - 先清理 error 级规则,再统一处理 warning; - 针对 hooks 规则建立最小回归测试。 ### P2-5 定时器清理不完整(潜在内存泄漏/卸载后状态写入)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `useBlindboxIdeas` 增加统一 `useEffect` cleanup,卸载时清理所有 `timersRef`; - `useBlindboxDraw` 增加 confetti 停止逻辑(timeout + `requestAnimationFrame` + `confetti.reset`),并在 `handleContinue` 与 unmount 时清理; - 同步修正盲盒房间页与 `useBlindboxRoom` 的定时器 cleanup 方式,避免 ref 清理时机不稳定。 - 证据: - `src/hooks/useBlindboxIdeas.ts` 已新增 `timersRef` 统一清理; - `src/hooks/useBlindboxDraw.ts` 已新增 confetti 与动画回调销毁逻辑。 - 影响: - 页面切换或快速操作下可能出现卸载后 setState、额外渲染噪音。 - 建议: - 为上述 hook 增加 `useEffect` cleanup 清理 `timersRef`; - confetti 动画增加销毁标志与取消逻辑。 ### P2-6 构建/测试门禁链路不完整【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `Jenkinsfile` 新增 `Install Dependencies` 与 `Quality Gate` 阶段,执行 `npm ci`、`npm run lint`、`npx tsc --noEmit`、`npm run test:coverage`; - 补齐 `@vitest/coverage-v8` 依赖,恢复 `npm run test:coverage` 可执行; - 在 `vitest.config.ts` 增加覆盖率阈值(`statements:57 / branches:50 / functions:47 / lines:60`); - 调整 `blindbox/page` 与 `profile/page` 测试异步断言,减少 `act(...)` 噪声。 - 证据: - `npm run test:coverage` 通过(`54 files / 337 tests`,覆盖率总览满足阈值); - `npm run lint` 当前 `0 errors`,`npx tsc --noEmit` 通过。 - 影响: - 回归问题可能绕过 CI 直接进入部署。 - 建议: - CI 最少增加:`npm run lint`、`npx tsc --noEmit`、`npm test`; - 补齐 coverage 依赖并设定最低阈值; - 修复 `act(...)` 警告提升测试可信度。 --- ## 可重构/可优化项(非阻塞,但收益高) ### R1 计划查询存在 N+1 查询模式【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - `getPendingPlans`、`getHistoryPlans` 改为在 `weekendPlan.findMany` 中直接 `select room { name, code }`; - 移除逐条 `findUnique` 查房间的 N+1 查询路径。 - 证据: - `src/lib/planQueries.ts` 已由“逐条房间查询”改为“单次查询带房间关系”。 ### R2 `atomicUpdateRoom` 对 likes 的“全删全建”策略成本较高【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 在 `roomRepository` 中新增 `diffRoomLikes`,按差集计算 `toCreate/toDelete`; - `atomicUpdateRoom` 改为 likes 增量更新(`deleteMany + createMany` 仅处理变更项),替代全量重建; - 补充 `src/lib/roomRepository.test.ts` 验证增量 diff 行为与去重逻辑。 - 证据: - `src/lib/roomRepository.ts` 已移除 likes 全删全建逻辑,改为差量同步。 ### R3 请求参数契约不统一(前端仍大量发送已废弃 `userId`)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 盲盒主链路前端请求已去除冗余 `userId`(`useBlindboxIdeas`、`useBlindboxDraw`、`useBlindboxPlan`、`useBlindboxRoom`、`blindbox/page`); - `useBlindboxRooms` 改为基于登录态启用请求,接口统一使用鉴权 cookie,不再拼接 `userId` query; - 保留房间实时 SSE 的 `userId` 参数(用于已修复的成员校验链路),其余盲盒链路契约已统一。 - 证据: - `rg` 检索显示盲盒前端链路已无 `?userId=` 或 `userId: profile.id` 传参。 ### R4 统一 API 调用层(减少重复 fetch + 错误处理分散)【已完成】 - 修复状态:✅ 已完成(2026-03-03) - 修复内容: - 在 `src/lib/fetcher.ts` 增加统一请求入口 `requestJson` 与 `ApiRequestError`,统一 JSON 序列化、响应解析与错误映射; - 盲盒核心前端链路已迁移到统一调用层(`blindbox/page`、`useBlindboxIdeas`、`useBlindboxRoom`、`useBlindboxDraw`、`useBlindboxPlan`); - 降低重复 `fetch + res.ok + res.json` 模板代码,错误处理集中化。 - 证据: - 以上模块中的请求分支已改为 `requestJson(...)` 调用; - 相关盲盒 API/UI 回归测试通过,`npx tsc --noEmit` 通过。 --- ## 基线执行结果(本次审查) - `npm run lint`:失败,`10 errors / 32 warnings`。 - `npm test`:通过,`53 files / 329 tests`,但有 `act(...)` 警告。 - `npx tsc --noEmit`:失败(测试相关类型错误若干)。 - `npm run test:coverage`:失败(缺少 `@vitest/coverage-v8`)。 - `npm run build`:本地环境因无法访问 Google Fonts 失败(与当前受限网络环境相关)。 --- ## 建议修复顺序(可执行) 1. 先修 P0(房间号规则不一致、swipe 非法 ID 校验)。 2. 再修 P1(`suggest-item` 鉴权、API 错误脱敏、CI 密钥治理)。 3. 处理 P2 工程门禁(lint/tsc/CI),恢复“提交即验证”。 4. 最后推进 R 类重构(N+1、增量更新、API client 统一)。 ## 交付说明 - 本文档为静态审查结论,未改动业务代码。 - 建议下一步按“P0/P1 修复 PR + 回归测试补齐”方式分批落地。