⚡ Admin 问题总览
以下为 Admin 管理后台发现的问题汇总,包含严重问题和一般问题。
| 编号 | 级别 | 模块 | 问题描述 | 可能导致的后果 | 状态 |
|---|---|---|---|---|---|
| A01 | 🔴 严重 | users | 用户密码哈希返回给前端 | GET /admin/users 返回完整 bcrypt 哈希,数据泄露风险 | ✅ 已修复 |
| A02 | 🔴 严重 | system | SMTP 密码明文存储在数据库 | GET /admin/email-config 返回明文 SMTP 密码,可被 Admin 账户获取 | ✅ 已修复 |
| A03 | 🔴 严重 | api-keys | AI API Keys 以明文存储 | api_key_encrypted 字段实为明文,Admin 可获取所有用户 AI Key | 待修复 |
| A04 | 🔴 严重 | transactions | CSV 导入全量 DELETE,数据不可恢复 | 上传 CSV 执行先删后插,用户历史数据永久丢失 | 待修复 |
| A05 | 🟡 中等 | users | 用户列表无服务端分页 | GET /admin/users 无 LIMIT,大数据量时前端渲染卡顿、响应体过大 | ✅ 已修复 |
| A06 | 🟡 中等 | logs | 审计日志和 API 日志无自动清理 | audit_logs / api_usage_logs 无限增长,存储成本增加,查询变慢 | ✅ 已修复 |
| A07 | 🟡 中等 | 测试邮件功能标注"待实现" | 点击"保存并测试"只保存配置不发送测试邮件,误导管理员 | ✅ 已修复 | |
| A08 | 🟡 中等 | budget-alerts | 预算预警 spent 未考虑删除交易 | 交易被删除后 spent 下降但 CSV 覆盖导入会重复计算,数据不准 | ✅ 已修复 |
| A09 | 🟡 中等 | recurring | 定期账单 next_due_at 无推进逻辑 | 定时任务的 Cron 未实现,next_due_at 不会根据 frequency 自动更新 | ✅ 已修复 |
| A10 | 🟡 中等 | csv-imports | 导入失败行无详细错误信息 | failed_rows > 0 但无法定位哪些行出错及原因,用户无法修正 | ✅ 已修复 |
共 10 个问题(4 个严重,6 个一般)