huang
df76e33105
实现面向个人客户的 7 个认证接口(A1-A7),覆盖资产验证、 微信公众号/小程序登录、手机号绑定/换绑、退出登录完整流程。 主要变更: - 新增 PersonalCustomerOpenID 模型,支持多 AppID 多 OpenID 管理 - 实现有状态 JWT(JWT + Redis 双重校验),支持服务端主动失效 - 扩展微信 SDK:小程序 Code2Session + 3 个 DB 动态工厂函数 - 实现 A1 资产验证 IP 限流(30/min)和 A4 三层验证码限流 - 新增 7 个错误码(1180-1186)和 6 个 Redis Key 函数 - 注册 /api/c/v1/auth/* 下 7 个端点并更新 OpenAPI 文档 - 数据库迁移 000083:新建 tb_personal_customer_openid 表
2.0 KiB
2.0 KiB
client-token-management Specification
ADDED Requirements
Requirement: 登录 JWT 签发与 Redis 状态存储
系统 MUST 在 A2/A3 登录成功后签发个人客户 JWT,并将 token 状态写入 Redis。
- JWT payload 字段:
customer_iduint,MUSTexpint64,MUST
- Redis Key:
RedisPersonalCustomerTokenKey(customerID) - Redis Value:当前有效 token(或 token 集合,取决于实现)
- TTL:MUST 与 JWT 过期时间一致
Scenario: 登录成功写入 Redis
- WHEN 客户完成微信登录
- THEN 系统 SHALL 签发 JWT
- THEN 系统 SHALL 将 token 写入 Redis 并设置 TTL
Requirement: PersonalAuthMiddleware 双重校验
系统 SHALL 在个人客户认证中间件执行双重校验:JWT 解析校验 + Redis 状态校验。
Scenario: JWT 与 Redis 均有效
- WHEN 请求携带有效 JWT 且 Redis 中存在有效状态
- THEN 中间件 SHALL 放行并写入
customer_id到上下文
Scenario: JWT 有效但 Redis 不存在
- WHEN JWT 仍在有效期但 Redis 中不存在该客户 token 状态
- THEN 中间件 MUST 返回未认证错误
1002
Requirement: A7 退出登录接口
系统 MUST 提供需认证接口 POST /api/c/v1/auth/logout,用于删除 Redis token 状态。
- HTTP Method + Path:
POST /api/c/v1/auth/logout - 请求体字段:无
- 响应体字段:
successbool,MUST
- 错误码:
1001缺失认证令牌1002认证令牌无效
Scenario: 退出登录成功
- WHEN 登录客户调用 A7
- THEN 系统 SHALL 删除
RedisPersonalCustomerTokenKey(customerID) - THEN 系统 SHALL 返回成功
Requirement: 服务端主动失效能力
系统 MUST 支持服务端主动使 token 失效(如封禁/强制下线),且无需等待 JWT 自然过期。
Scenario: 服务端主动踢出
- WHEN 管理动作触发客户强制下线
- THEN 系统 SHALL 删除对应 Redis token 状态
- THEN 该客户后续请求 MUST 被中间件拒绝