程序猿MT 799b010631 fix(auth): 修复 RefreshToken 使用过期 token 时的 nil pointer panic (#214) ...

* fix(auth): 修复 RefreshToken 使用过期 token 时的 nil pointer panic

问题分析：
- RefreshToken 允许过期 token 继续流程（用于无感刷新）
- 但 ValidateToken 在 token 过期时返回 nil claims
- 导致后续访问 claims.UserID 时触发 panic

修复方案：
- 修改 ValidateToken，在检测到 ErrTokenExpired 时仍然返回 claims
- jwt-go 在解析时即使遇到过期错误，token.Claims 仍会被填充
- 这样 RefreshToken 可以正常获取用户信息并生成新 token

新增测试：
- TestAuthService_ValidateToken_ExpiredReturnsClaimsWithError
- TestAuthService_RefreshToken_ExpiredTokenNoPanic

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

* fix(auth): 修复邮件验证服务未配置时可绕过验证的安全漏洞

当邮件验证开启但 emailService 未配置时，原逻辑允许用户绕过验证直接注册。
现在会返回 ErrServiceUnavailable 拒绝注册，确保配置错误不会导致安全问题。

- 在验证码检查前先检查 emailService 是否配置
- 添加日志记录帮助发现配置问题
- 新增单元测试覆盖该场景

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

---------

Co-authored-by: yangjianbo <yangjianbo@leagsoft.com>
Co-authored-by: Claude Opus 4.5 <noreply@anthropic.com>

2026-01-09 10:37:15 +08:00

..

cmd

Merge branch 'feature/account-expires-at' into main: feat: add account expires-at field and auto-pause expired accounts

2026-01-08 09:27:57 +08:00

ent

feat(groups): add Claude Code client restriction and session isolation

2026-01-08 23:07:00 +08:00

internal

fix(auth): 修复 RefreshToken 使用过期 token 时的 nil pointer panic (#214)

2026-01-09 10:37:15 +08:00

migrations

feat(groups): add Claude Code client restriction and session isolation

2026-01-08 23:07:00 +08:00

resources/model-pricing

First commit

2025-12-18 13:50:39 +08:00

.golangci.yml

fix(ci): 修复 CI 检查失败问题

2026-01-04 18:55:34 +08:00

Dockerfile

fix: 修复 Go 版本、包管理器和技术栈文档 (#195)

2026-01-07 16:35:51 +08:00

go.mod

fix(安全): 修复依赖漏洞并强化安全扫描

2026-01-06 11:36:38 +08:00

go.sum

fix(安全): 修复依赖漏洞并强化安全扫描

2026-01-06 11:36:38 +08:00

Makefile

feat(安全): 添加安全开关并完善测试流程

2026-01-05 13:54:43 +08:00

tools.go

refactor(数据库): 迁移持久层到 Ent 并清理 GORM

2025-12-29 10:03:27 +08:00