rwadurian

Go to file

hailin f4c9535e12 feat(capability): 补齐全部后端 API 能力拦截 ## 背景审计发现 13 项用户能力中，部分后端 API 端点缺少 @RequireCapability 拦截，用户可绕过前端 UI 限制直接调用 API。本次逐服务补齐。 ## Phase 1: 高优先级 — 操作端点 ### auth-service - POST /auth/password/change → @RequireCapability('PROFILE_EDIT') 修改登录密码需要 PROFILE_EDIT 能力 - POST /auth/trade-password/set → @RequireCapability('PROFILE_EDIT') 设置交易密码需要 PROFILE_EDIT 能力 - POST /auth/trade-password/change → @RequireCapability('PROFILE_EDIT') 修改交易密码需要 PROFILE_EDIT 能力 - POST /auth/trade-password/verify → @RequireCapability('TRADING') 验证交易密码是交易前置步骤，需要 TRADING 能力 ### trading-service - POST /c2c/orders/:orderNo/cancel → @RequireCapability('C2C') C2C 取消订单是唯一缺失 C2C 能力检查的操作端点 ## Phase 2: 低优先级 — 查看端点 ### trading-service - GET /trading/orders → VIEW_RECORDS (用户订单列表) - GET /trading/trades → VIEW_RECORDS (成交记录) - GET /transfers/history → VIEW_RECORDS (划转历史) - GET /p2p/transfers/:accountSequence → VIEW_RECORDS (P2P转账历史) - GET /c2c/orders/my → VIEW_RECORDS (我的C2C订单) ### contribution-service - GET /contribution/accounts/:accountSequence/active → VIEW_ASSET - GET /contribution/accounts/:accountSequence/planting-ledger → VIEW_RECORDS ## 能力覆盖总览 (补齐后) \| 能力 \| 端点数 \| 状态 \| \|------\|--------\|------\| \| LOGIN \| 全局 \| ✅ JwtAuthGuard 拦截 \| \| TRADING \| 3 \| ✅ createOrder, cancelOrder, verifyTradePassword \| \| C2C \| 6 \| ✅ create, take, cancel, confirmPayment, confirmReceived, uploadProof \| \| TRANSFER_IN \| 1 \| ✅ transferIn \| \| TRANSFER_OUT \| 1 \| ✅ transferOut \| \| P2P_SEND \| 1 \| ✅ transfer \| \| KYC \| 1 \| ✅ submitKyc \| \| PROFILE_EDIT \| 3 \| ✅ changePassword, setTradePassword, changeTradePassword \| \| VIEW_ASSET \| 2 \| ✅ getMyAsset, getActiveContribution \| \| VIEW_TEAM \| 2 \| ✅ getMyTeamInfo, getDirectReferrals \| \| VIEW_RECORDS \| 6 \| ✅ 各服务历史记录端点 \| \| P2P_RECEIVE \| 0 \| 仅前端展示控制（无后端操作端点） \| \| MINING_CLAIM \| 0 \| mining-service 需后续重构(@Public 类级别) \| Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>		2026-02-28 05:22:37 -08:00
.claude	feat(mining-app): 二维码扫描支持从相册选择图片识别	2026-01-31 07:21:56 -08:00
backend	feat(capability): 补齐全部后端 API 能力拦截	2026-02-28 05:22:37 -08:00
contracts	feat(blockchain): 部署 eUSDT 和 fUSDT 代币合约	2026-01-19 05:30:25 -08:00
docs	docs: RWA 通缩经济模型设计 —— 商业案例分析	2026-02-20 07:57:07 -08:00
frontend	fix(auth): LOGIN 能力禁用后强制下线已登录用户	2026-02-28 05:01:37 -08:00
kubernetes	.	2025-11-25 10:29:24 +08:00
scripts	fix(snapshot): 修改 Services PostgreSQL 用户名为 rwa_user	2026-01-08 09:05:22 -08:00
tests	.	2025-11-25 10:29:24 +08:00
.gitignore	feat(mining-ecosystem): 添加挖矿生态系统完整微服务与前端	2026-01-10 17:45:46 -08:00
README.md	first commit	2025-11-23 21:21:44 -08:00
SEED01-qrcode.png	fix: 短信超时返回成功状态避免前端报错	2025-12-21 20:55:31 -08:00
STKAITI.TTF	feat(mobile-app): 添加合同签署 API 详细调试日志	2025-12-25 03:14:10 -08:00
contract.docx	feat(kyc): 实名认证前检查手机号验证状态	2025-12-24 21:00:53 -08:00
docker-compose.yml	first commit	2025-11-23 21:21:44 -08:00
挖矿.xlsx	feat(contribution): 添加系统账户算力来源类型字段	2026-01-21 04:23:50 -08:00
榴莲皇后数据.xlsx	fix(mobile-app): 修复多账号切换后账号列表只显示一个的问题	2025-12-27 11:12:50 -08:00
联合种植协议董事长_release_form.pdf	fix(reporting-service): add /api/v1 prefix to wallet and reward service API calls	2026-01-04 23:18:10 -08:00

README.md