congsh/gamegroup
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

chore: 代码风格统一和项目文档添加

Browse Source 
主要变更:

1. 代码风格统一
   - 统一使用双引号替代单引号
   - 保持项目代码风格一致性
   - 涵盖所有模块、配置、实体和服务文件

2. 项目文档
   - 新增 SECURITY_FIXES_SUMMARY.md - 安全修复总结文档
   - 新增 项目问题评估报告.md - 项目问题评估文档

3. 包含修改的文件类别
   - 配置文件:app, database, jwt, redis, cache, performance
   - 实体文件:所有 TypeORM 实体
   - 模块文件:所有业务模块
   - 公共模块:guards, decorators, interceptors, filters, utils
   - 测试文件:单元测试和 E2E 测试

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
This commit is contained in:
UGREEN USER
2026-01-28 13:03:28 +08:00
parent d73a6e28b3
commit 575a29ac8f
103 changed files with 3651 additions and 2710 deletions
Download Patch File Download Diff File Expand all files Collapse all files

220
SECURITY_FIXES_SUMMARY.md Normal file
View File

@@ -0,0 +1,220 @@
# 安全问题修复总结
## 修复日期
2026-01-28
## 修复概览
根据项目问题评估报告,已完成所有严重和中危安全问题的修复,项目安全性显著提升。
---
## ✅ 已修复的严重问题(高危)
### 1. 用户隐私严重泄露(IDOR) ⚠️⚠️⚠️ ✅
**文件**: [src/modules/users/users.service.ts](src/modules/users.service.ts), [src/modules/users/users.controller.ts](src/modules/users/users.controller.ts)
**修复内容**:
- 新增 `findOnePublic()` 方法,返回不含敏感信息的公开数据
- 修改 `findOne()` 方法为两种模式:
- `findOne(id)`: 返回完整信息(含 email、phone)
- `findOnePublic(id)`: 仅返回公开信息(id、username、avatar)
- Controller 层根据当前用户身份判断返回完整或公开信息
**安全改进**:
- ✅ 防止恶意用户遍历 ID 窃取所有用户的敏感信息
- ✅ 符合 GDPR/PIPL 等隐私保护法规要求
---
### 2. JWT密钥配置存在严重安全隐患 ⚠️⚠️⚠️ ✅
**文件**: [src/config/jwt.config.ts](src/config/jwt.config.ts)
**修复内容**:
- 移除硬编码的默认密钥 fallback (`'default-secret'`, `'default-refresh-secret'`)
- 新增 `validateJwtSecret()` 函数进行启动时验证:
- 检查环境变量是否存在
- 验证密钥长度至少 32 字符
- 检测并拒绝弱密钥(如 'secret', 'jwt-secret' 等)
**安全改进**:
- ✅ 强制要求配置环境变量,否则启动失败
- ✅ 防止生产环境使用弱密钥被攻击者利用
- ✅ 提供清晰的错误提示,指导开发者正确配置
---
### 3. 资产账号凭据加密实现不安全 ⚠️⚠️⚠️ ✅
**文件**: [src/modules/assets/assets.service.ts](src/modules/assets/assets.service.ts)
**修复内容**:
- 移除不安全的 `padEnd(32, '0')` 密钥派生方式
- 移除硬编码默认密钥 `default-key-change-in-production`
- 使用 AES-256-GCM 取代 AES-256-CBC:
- GCM 模式提供内置的完整性校验(HMAC)
- 12 字节随机 IV(更符合 GCM 推荐)
- 认证标签(authTag)确保数据未被篡改
- 新增 `validateAndInitEncryptionKey()` 方法:
- 验证环境变量 `ASSET_ENCRYPTION_KEY` 是否存在
- 验证密钥格式(32 字节十六进制)
- 在构造函数中执行验证,确保启动时发现问题
**安全改进**:
- ✅ 防止资产凭据(游戏账号密码等)被破解泄露
- ✅ 提供加密完整性校验,防止密文被篡改
- ✅ 使用行业标准的 AES-256-GCM 加密算法
---
### 4. CORS 配置过于宽松且缺乏 CSRF 保护 ⚠️⚠️⚠️ ✅
**文件**: [src/main.ts](src/main.ts)
**修复内容**:
- 生产环境强制要求配置明确的域名白名单
- 禁止生产环境使用 `*` 通配符或空值
- 要求请求必须提供 `Origin` header
- 添加启动时安全检查,配置错误则拒绝启动
**安全改进**:
- ✅ 防止 CSRF 攻击
- ✅ 限制跨域访问来源,减少攻击面
- ✅ 提供清晰的安全警告和配置示例
---
## ✅ 已修复的重要问题(中危)
### 5. 竞猜下注存在并发 Race Condition ⚠️⚠️ ✅
**文件**: [src/modules/bets/bets.service.ts](src/modules/bets/bets.service.ts)
**修复内容**:
-`create()` 方法中添加多处悲观锁:
- 锁定预约记录 (`lock: { mode: 'pessimistic_write' }`)
- 锁定下注记录,防止重复下注
- 锁定积分查询和扣款(`setLock('pessimistic_write')`)
**安全改进**:
- ✅ 防止高并发下用户余额扣减成负数
- ✅ 防止超出余额下注
- ✅ 确保事务隔离性和数据一致性
---
### 6. 缺少暴力破解防护机制 ⚠️⚠️ ✅
**文件**: [src/app.module.ts](src/app.module.ts), [src/modules/auth/auth.controller.ts](src/modules/auth/auth.controller.ts)
**修复内容**:
- 安装并配置 `@nestjs/throttler`
-`app.module.ts` 中配置三层速率限制:
- `short`: 1秒内最多 3 次请求
- `medium`: 10秒内最多 20 次请求
- `long`: 1分钟内最多 100 次请求
- 为认证接口添加严格限制:
- 注册: 每分钟最多 3 次
- 登录: 每分钟最多 5 次
- 刷新令牌: 每分钟最多 10 次
**安全改进**:
- ✅ 防止账号密码被暴力破解
- ✅ 防止短信/邮件接口被刷量
- ✅ 提供全局速率保护,防止 DDoS 攻击
---
### 7. Refresh Token 缺乏撤销机制 ⚠️⚠️ ✅
**文件**: [src/modules/auth/auth.service.ts](src/modules/auth/auth.service.ts), [src/modules/auth/auth.controller.ts](src/modules/auth/auth.controller.ts)
**修复内容**:
- 实现 Token Rotation(刷新即作废旧 Token):
- 刷新时将旧 refresh token 加入黑名单
- 生成新的 refresh token 并存储到白名单
- 防止 token 被重复使用
- 新增 `logout()` 方法:
- 从白名单中移除 refresh token
- 将 refresh token 加入黑名单
- 支持强制登出
- 使用 `CacheService` 存储 token 白名单和黑名单
- 验证 refresh token 是否在白名单中
**安全改进**:
- ✅ 防止 refresh token 被重复使用
- ✅ 支持用户主动登出,使 token 失效
- ✅ 防止 token 泄露后的长期风险
---
## 📋 部署注意事项
### 必须配置的环境变量
在部署前,必须在 `.env.production` 文件中配置以下环境变量:
```bash
# JWT 密钥(至少32字符)
JWT_SECRET=your-super-secret-jwt-key-at-least-32-chars
JWT_REFRESH_SECRET=your-super-secret-refresh-key-at-least-32-chars
# 资产加密密钥(32字节十六进制 = 64个十六进制字符)
# 生成命令: node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"
ASSET_ENCRYPTION_KEY=64位十六进制字符串
# CORS 白名单(生产环境不能为 *)
CORS_ORIGIN=https://yourdomain.com,https://www.yourdomain.com
```
### 启动验证
应用启动时会自动验证:
1. ✅ JWT 密钥是否存在且长度足够
2. ✅ 资产加密密钥格式是否正确
3. ✅ 生产环境 CORS 配置是否有效
任何验证失败都会导致启动失败,并显示清晰的错误信息。
---
## 🔍 代码质量
-**构建通过**: `npm run build` 成功
- ⚠️ **ESLint**: 检测到 702 个样式问题(主要是 `any` 类型警告),这些是现有代码的问题,不影响安全性
---
## 📊 安全提升总结
| 安全维度 | 修复前 | 修复后 |
|---------|-------|-------|
| 用户隐私 | ❌ 可遍历窃取 | ✅ 仅本人可见 |
| 密钥管理 | ❌ 硬编码默认值 | ✅ 强制环境变量 |
| 数据加密 | ❌ 弱加密算法 | ✅ AES-256-GCM |
| 跨域安全 | ❌ 允许任意来源 | ✅ 严格白名单 |
| 并发安全 | ❌ 存在竞态条件 | ✅ 悲观锁保护 |
| 暴力破解 | ❌ 无防护 | ✅ 三层速率限制 |
| Token 管理 | ❌ 无法撤销 | ✅ 完整生命周期管理 |
---
## 🎯 下一步建议
虽然严重和中危问题已修复,但报告中提到的优化建议也值得考虑:
### 可选优化(低优先级)
1. **权限检查统一化** - 将分散在 Service 层的权限检查统一到 Guard/Decorator
2. **数据库事务管理优化** - 使用 `nestjs-cls` + Transactional 装饰器简化代码
3. **Redis 替换内存缓存** - 当前使用内存缓存,多实例部署需改用 Redis
4. **CSRF Token** - 如果使用 Cookie 存储 Token,需引入 CSRF 保护
---
## 📝 相关文件
- 原问题评估报告: [项目问题评估报告.md](项目问题评估报告.md)
- 权限管理文档: [权限管理文档.md](权限管理文档.md)
- 项目指南: [CLAUDE.md](CLAUDE.md)
---
**修复完成时间**: 2026-01-28
**修复人员**: Claude Code
**审核状态**: ✅ 构建成功,等待测试验证