npm - @llryiop/avatar-boot-cli - Versions diffs - 1.0.0 - Mend

@llryiop/avatar-boot-cli 1.0.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (77) hide show

package/templates/.claude/skills/security-audit/SKILL.md ADDED Viewed

@@ -0,0 +1,330 @@
+---
+name: security-audit
+description: |
+  安全审计与安全检查技能。当用户提到以下关键词时触发：
+  security audit, 安全审计, 安全检查, OWASP, 漏洞扫描,
+  SQL注入, XSS, 权限检查, 数据脱敏, 依赖漏洞
+  本技能提供基于 OWASP Top 10 的 Spring Boot 安全审计清单、
+  MyBatis 注入检测、日志脱敏、依赖漏洞检查和认证授权审计等完整指导。
+---
+# 安全审计技能
+## 适用场景
+- 代码安全审查
+- 上线前安全检查
+- 依赖漏洞扫描
+- 敏感数据处理审计
+- 认证授权机制审查
+## OWASP Top 10 检查清单（Spring Boot 适配）
+### A01 — 权限控制失效（Broken Access Control）
+**检查项：**
+- [ ] 接口是否有权限注解（`@PreAuthorize`, `@Secured`）
+- [ ] 是否存在越权访问（水平越权：访问他人数据；垂直越权：普通用户执行管理操作）
+- [ ] 是否对资源 ID 进行归属校验
+```java
+// 错误：未校验数据归属
+@GetMapping("/orders/{id}")
+public Result<OrderVO> getOrder(@PathVariable Long id) {
+    return Result.success(orderService.getById(id));  // 任何用户都能查任意订单
+}
+// 正确：校验数据归属
+@GetMapping("/orders/{id}")
+public Result<OrderVO> getOrder(@PathVariable Long id) {
+    Long currentUserId = SecurityUtils.getCurrentUserId();
+    OrderVO order = orderService.getByIdAndUserId(id, currentUserId);
+    if (order == null) {
+        throw new BusinessException("订单不存在或无权访问");
+    }
+    return Result.success(order);
+}
+```
+### A02 — 加密机制失效（Cryptographic Failures）
+**检查项：**
+- [ ] 密码是否使用 BCrypt 等强哈希算法存储
+- [ ] 敏感配置是否加密（数据库密码、API Key）
+- [ ] 是否使用 HTTPS 传输敏感数据
+- [ ] 对称加密是否使用 AES-256 以上
+```java
+// 错误：明文存储密码
+user.setPassword(rawPassword);
+// 正确：BCrypt 加密
+@Autowired
+private PasswordEncoder passwordEncoder;
+user.setPassword(passwordEncoder.encode(rawPassword));
+```
+### A03 — 注入攻击（Injection）
+**检查项：**
+- [ ] MyBatis 是否使用 `${}` 拼接用户输入（见下方详细检测）
+- [ ] 是否存在 JPQL/HQL 拼接
+- [ ] OS 命令执行是否拼接用户输入
+- [ ] LDAP 查询是否拼接用户输入
+### A04 — 不安全的设计（Insecure Design）
+**检查项：**
+- [ ] 是否有接口限流（防刷）
+- [ ] 敏感操作是否有二次确认
+- [ ] 业务逻辑是否有防重放机制
+### A05 — 安全配置错误（Security Misconfiguration）
+**检查项：**
+- [ ] 生产环境是否关闭 Swagger/SpringDoc
+- [ ] 是否暴露 Actuator 端点
+- [ ] 错误响应是否泄露堆栈信息
+- [ ] CORS 配置是否过于宽松
+```yaml
+# 生产环境关闭 Actuator 敏感端点
+management:
+  endpoints:
+    web:
+      exposure:
+        include: health,info
+  endpoint:
+    health:
+      show-details: never
+```
+### A06 — 存在漏洞的组件（Vulnerable Components）
+详见下方「依赖漏洞检查」章节。
+### A07 — 认证失效（Authentication Failures）
+**检查项：**
+- [ ] 登录是否有失败次数限制
+- [ ] Token 是否有过期时间
+- [ ] 是否支持 Token 主动失效（登出）
+- [ ] 密码强度是否有要求
+### A08 — 数据完整性失效（Data Integrity Failures）
+**检查项：**
+- [ ] 反序列化是否限制类型
+- [ ] 是否信任客户端传入的关键数据（如价格、权限标识）
+### A09 — 安全日志和监控失效（Logging & Monitoring Failures）
+**检查项：**
+- [ ] 登录、登出、权限变更是否有审计日志
+- [ ] 敏感操作是否记录操作人和操作内容
+- [ ] 日志中是否脱敏处理敏感数据（见下方详细规则）
+### A10 — 服务端请求伪造 SSRF
+**检查项：**
+- [ ] 是否存在用户输入 URL 后服务端请求的场景
+- [ ] 是否限制请求目标的域名/IP 白名单
+## MyBatis ${} 注入检测
+### 检测规则
+在 MyBatis XML 和注解中搜索 `${}` 使用：
+```
+高危：用户输入直接通过 ${} 拼接
+  - ${username}, ${keyword}, ${searchText} 等
+允许：非用户输入的动态 SQL
+  - ${tableName}（来自系统配置，非用户输入）
+  - ${orderByColumn}（需严格白名单校验）
+```
+### 修复方案
+```xml
+<!-- 错误：SQL 注入风险 -->
+<select id="findByName" resultType="User">
+    SELECT * FROM user WHERE name LIKE '%${name}%'
+</select>
+<!-- 正确：使用 #{} 参数绑定 -->
+<select id="findByName" resultType="User">
+    SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}, '%')
+</select>
+```
+```xml
+<!-- 错误：动态排序字段注入 -->
+<select id="listUsers" resultType="User">
+    SELECT * FROM user ORDER BY ${orderBy}
+</select>
+<!-- 正确：白名单校验排序字段 -->
+<!-- 在 Java 代码中校验 orderBy 值 -->
+```
+```java
+// 排序字段白名单校验
+private static final Set<String> ALLOWED_ORDER_FIELDS =
+    Set.of("create_time", "update_time", "username");
+public void validateOrderBy(String orderBy) {
+    if (!ALLOWED_ORDER_FIELDS.contains(orderBy)) {
+        throw new BusinessException("不支持的排序字段: " + orderBy);
+    }
+}
+```
+## 日志脱敏规则
+### 必须脱敏的字段
+| 字段类型   | 原始值                  | 脱敏后                  | 规则                       |
+|-----------|------------------------|------------------------|---------------------------|
+| 手机号     | `13812345678`          | `138****5678`          | 保留前3后4，中间4位星号     |
+| 身份证号   | `110101199001011234`   | `110101****1234`       | 保留前6后4，中间星号        |
+| 密码       | `myP@ssw0rd`           | `******`               | 全部替换为星号              |
+| 银行卡号   | `6222021234567890`     | `6222****7890`         | 保留前4后4，中间星号        |
+| 邮箱       | `user@example.com`     | `u***@example.com`     | @前保留首字符，其余星号     |
+| 地址       | `北京市朝阳区xxx路`     | `北京市朝阳区***`       | 保留省市区，详细地址星号     |
+### 实现方式
+```java
+/**
+ * 日志脱敏工具类
+ */
+public class DesensitizeUtils {
+    /** 手机号脱敏 */
+    public static String phone(String phone) {
+        if (StringUtils.isBlank(phone) || phone.length() < 11) {
+            return phone;
+        }
+        return phone.substring(0, 3) + "****" + phone.substring(7);
+    }
+    /** 身份证脱敏 */
+    public static String idCard(String idCard) {
+        if (StringUtils.isBlank(idCard) || idCard.length() < 15) {
+            return idCard;
+        }
+        return idCard.substring(0, 6) + "****" + idCard.substring(idCard.length() - 4);
+    }
+    /** 密码脱敏 */
+    public static String password(String password) {
+        return "******";
+    }
+}
+```
+### 日志输出规范
+```java
+// 错误：日志输出明文敏感信息
+log.info("用户登录: phone={}, password={}", phone, password);
+// 正确：脱敏后输出
+log.info("用户登录: phone={}", DesensitizeUtils.phone(phone));
+// 密码绝不输出到日志
+```
+## 依赖漏洞检查
+### OWASP Dependency-Check 集成
+```xml
+<!-- pom.xml -->
+<plugin>
+    <groupId>org.owasp</groupId>
+    <artifactId>dependency-check-maven</artifactId>
+    <version>9.0.9</version>
+    <configuration>
+        <failBuildOnCVSS>7</failBuildOnCVSS>
+        <formats>
+            <format>HTML</format>
+            <format>JSON</format>
+        </formats>
+    </configuration>
+</plugin>
+```
+```bash
+# 执行漏洞扫描
+mvn dependency-check:check
+# 查看报告
+open target/dependency-check-report.html
+```
+### 常见高危依赖
+- **Log4j** — 确保使用 2.17+ 版本
+- **Jackson** — 确保禁用 `defaultTyping`
+- **FastJSON** — 建议替换为 Jackson
+- **Spring Framework** — 及时更新安全补丁
+## 认证授权检查要点
+1. **Token 管理**
+   - Token 是否设置合理的过期时间
+   - 是否支持 Token 刷新机制
+   - 登出时是否主动失效 Token
+2. **接口权限**
+   - 每个 Controller 方法是否有权限控制
+   - 公开接口是否在白名单中明确列出
+   - 内部服务间调用是否有鉴权
+3. **数据权限**
+   - 是否实现数据行级权限控制
+   - 多租户场景是否有租户隔离
+## 敏感数据处理规则
+1. **传输层** — 敏感接口强制 HTTPS
+2. **存储层** — 密码 BCrypt，敏感字段 AES 加密
+3. **展示层** — 前端展示脱敏，VO 中处理
+4. **日志层** — 日志输出脱敏
+5. **配置层** — 数据库密码等使用加密配置或环境变量
+## 最佳实践
+1. **最小权限原则** — 接口、数据库账号、服务间调用都遵循最小权限
+2. **纵深防御** — 不依赖单一安全措施，多层防护
+3. **安全左移** — 在编码阶段就进行安全审查，而非上线前
+4. **定期扫描** — CI/CD 中集成依赖漏洞扫描
+5. **安全配置** — 生产环境关闭调试端点和详细错误信息
+6. **输入校验** — 所有外部输入都进行合法性校验
+7. **审计日志** — 关键操作留痕，便于事后追溯
+## 安全审计检查清单
+- [ ] OWASP Top 10 逐项检查通过
+- [ ] MyBatis XML 中无 `${}` 拼接用户输入
+- [ ] 日志输出已脱敏敏感字段
+- [ ] 依赖漏洞扫描无高危漏洞（CVSS < 7）
+- [ ] 所有接口有权限控制
+- [ ] 密码使用 BCrypt 存储
+- [ ] 生产环境关闭 Swagger 和 Actuator 敏感端点
+- [ ] 敏感配置使用环境变量或加密方式
+- [ ] 关键操作有审计日志
+- [ ] CORS 配置限制了允许的域名

package/templates/.claude/skills/test-case-design/SKILL.md ADDED Viewed

@@ -0,0 +1,257 @@
+---
+name: test-case-design
+description: |
+  测试用例设计技能。当用户提到以下关键词时触发：
+  test case, 测试用例, test design, 用例设计, 测试场景,
+  边界值, 等价类, 测试覆盖
+  本技能提供 Given-When-Then 结构化用例设计、边界值分析、
+  等价类划分、异常场景覆盖和 JUnit 5 代码模板等完整指导。
+---
+# 测试用例设计技能
+## 适用场景
+- 为新功能设计测试用例
+- 审查现有测试的完整性
+- 补充边界和异常测试场景
+- 制定测试策略和覆盖目标
+## Given-When-Then 结构模板
+每个测试用例遵循 **Given-When-Then** 三段式结构：
+```
+Given（前置条件）: 描述测试的初始状态和准备数据
+When （触发动作）: 描述被测试的操作
+Then （预期结果）: 描述期望的输出或状态变化
+```
+### 用例编写示例
+```
+用例编号: TC-USER-001
+用例名称: 正常创建用户
+优先级: P0
+前提条件: 数据库中不存在用户名为 "zhangsan" 的用户
+Given: 准备合法的用户创建请求
+  - username = "zhangsan"
+  - phone = "13812345678"
+  - email = "zhangsan@example.com"
+When: 调用 POST /api/users 接口
+Then:
+  - 响应状态码为 200
+  - Result.code 为 0
+  - Result.data 返回新创建的用户 ID
+  - 数据库中存在对应用户记录
+  - 用户创建时间不为空
+```
+## 边界值分析
+### 分析方法
+对于每个输入参数，分析其有效边界和无效边界：
+```
+参数: username（用户名）
+约束: 长度 1-50，只允许字母、数字、下划线
+边界值测试点:
+  ┌─────────────────┬──────────────┬──────────┐
+  │ 测试点           │ 输入值        │ 期望结果  │
+  ├─────────────────┼──────────────┼──────────┤
+  │ 最小有效长度      │ "a"          │ 成功      │
+  │ 最大有效长度      │ 50个字符的串  │ 成功      │
+  │ 低于最小长度      │ ""           │ 失败      │
+  │ 超过最大长度      │ 51个字符的串  │ 失败      │
+  │ 有效字符组合      │ "user_123"   │ 成功      │
+  │ 包含非法字符      │ "user@name"  │ 失败      │
+  │ null 值          │ null         │ 失败      │
+  └─────────────────┴──────────────┴──────────┘
+```
+### 数值型参数边界
+```
+参数: pageSize（每页条数）
+约束: 最小 1，最大 100，默认 10
+测试点:
+  - pageSize = 0    → 校验失败
+  - pageSize = 1    → 成功（最小边界）
+  - pageSize = 100  → 成功（最大边界）
+  - pageSize = 101  → 校验失败
+  - pageSize = -1   → 校验失败
+  - pageSize = null → 使用默认值 10
+```
+## 等价类划分
+### 划分方法
+将输入数据划分为有效等价类和无效等价类，每类取一个代表值进行测试：
+```
+参数: 手机号（phone）
+有效等价类:
+  ┌─────┬───────────────────┬──────────────┐
+  │ 编号 │ 描述               │ 代表值        │
+  ├─────┼───────────────────┼──────────────┤
+  │ V1  │ 合法的11位手机号    │ 13812345678  │
+  │ V2  │ 不同运营商号段      │ 15912345678  │
+  │ V3  │ 新号段             │ 19912345678  │
+  └─────┴───────────────────┴──────────────┘
+无效等价类:
+  ┌─────┬───────────────────┬──────────────┐
+  │ 编号 │ 描述               │ 代表值        │
+  ├─────┼───────────────────┼──────────────┤
+  │ I1  │ 少于11位           │ 1381234567   │
+  │ I2  │ 多于11位           │ 138123456789 │
+  │ I3  │ 非1开头            │ 23812345678  │
+  │ I4  │ 包含字母           │ 138abcd5678  │
+  │ I5  │ 空值               │ null / ""    │
+  └─────┴───────────────────┴──────────────┘
+```
+## 异常与边缘场景
+### 必须覆盖的场景类型
+1. **空值场景** — null、空字符串、空集合
+2. **重复数据** — 唯一约束冲突
+3. **并发场景** — 同时操作同一资源
+4. **权限场景** — 无权限、越权操作
+5. **数据状态** — 已删除/已禁用的数据操作
+6. **关联数据** — 被引用数据的删除
+7. **数据量** — 空列表、超大列表
+8. **特殊字符** — SQL 注入字符、XSS 字符、emoji
+### 示例：用户删除接口的异常场景
+```
+TC-USER-DEL-001: 删除不存在的用户
+  Given: 用户 ID = 999999 不存在于数据库
+  When:  调用 DELETE /api/users/999999
+  Then:  返回错误，code 非 0，提示"用户不存在"
+TC-USER-DEL-002: 删除已被订单关联的用户
+  Given: 用户 ID = 1 存在且有未完成订单
+  When:  调用 DELETE /api/users/1
+  Then:  返回错误，提示"该用户存在关联订单，无法删除"
+TC-USER-DEL-003: 重复删除同一用户
+  Given: 用户 ID = 1 已被删除（逻辑删除）
+  When:  再次调用 DELETE /api/users/1
+  Then:  返回错误，提示"用户不存在"
+TC-USER-DEL-004: 无权限删除用户
+  Given: 当前登录用户为普通角色
+  When:  调用 DELETE /api/users/1
+  Then:  返回 403 无权限
+```
+## JUnit 5 测试代码模板
+```java
+@DisplayName("用户创建接口测试")
+class UserCreateTest {
+    @Test
+    @DisplayName("正常创建用户 - 应返回用户ID")
+    void should_return_user_id_when_create_with_valid_data() {
+        // Given
+        UserInfoCreateDTO dto = new UserInfoCreateDTO();
+        dto.setUsername("zhangsan");
+        dto.setPhone("13812345678");
+        dto.setEmail("zhangsan@example.com");
+        // When
+        Result<Long> result = userService.create(dto);
+        // Then
+        assertThat(result.getCode()).isEqualTo(0);
+        assertThat(result.getData()).isNotNull();
+        assertThat(result.getData()).isPositive();
+    }
+    @Test
+    @DisplayName("用户名为空时 - 应返回参数错误")
+    void should_fail_when_username_is_blank() {
+        // Given
+        UserInfoCreateDTO dto = new UserInfoCreateDTO();
+        dto.setUsername("");
+        dto.setPhone("13812345678");
+        // When & Then
+        assertThatThrownBy(() -> userService.create(dto))
+            .isInstanceOf(ConstraintViolationException.class);
+    }
+    @Test
+    @DisplayName("用户名重复时 - 应返回业务异常")
+    void should_fail_when_username_already_exists() {
+        // Given
+        UserInfoCreateDTO dto = new UserInfoCreateDTO();
+        dto.setUsername("existing_user");
+        dto.setPhone("13812345678");
+        // When & Then
+        assertThatThrownBy(() -> userService.create(dto))
+            .isInstanceOf(BusinessException.class)
+            .hasMessageContaining("用户名已存在");
+    }
+    @ParameterizedTest
+    @DisplayName("手机号格式校验 - 非法手机号应失败")
+    @ValueSource(strings = {"1381234567", "138123456789", "23812345678", "abc"})
+    void should_fail_when_phone_format_invalid(String phone) {
+        // Given
+        UserInfoCreateDTO dto = new UserInfoCreateDTO();
+        dto.setUsername("testuser");
+        dto.setPhone(phone);
+        // When & Then
+        assertThatThrownBy(() -> userService.create(dto))
+            .isInstanceOf(ConstraintViolationException.class);
+    }
+}
+```
+### 测试方法命名规范
+```
+should_[预期行为]_when_[条件]
+示例:
+  should_return_user_when_id_exists
+  should_throw_exception_when_username_is_blank
+  should_return_empty_list_when_no_data
+```
+## 覆盖率要求
+| 指标             | 最低要求   | 推荐目标   |
+|-----------------|-----------|-----------|
+| 行覆盖率         | 60%       | 80%       |
+| 分支覆盖率       | 50%       | 70%       |
+| 核心业务方法覆盖  | 90%       | 100%      |
+| Controller 层   | 80%       | 95%       |
+| Service 层      | 70%       | 90%       |
+## 最佳实践
+1. **用例优先级** — P0（核心流程）> P1（重要分支）> P2（边界条件）> P3（极端场景）
+2. **独立性** — 每个测试用例互不依赖，可独立运行
+3. **可重复性** — 多次执行结果一致，不依赖外部状态
+4. **一测一验** — 每个测试方法只验证一个行为
+5. **命名清晰** — 测试方法名要能描述测试场景和预期结果
+6. **数据隔离** — 测试数据在测试前后自动清理
+7. **参数化测试** — 相似场景使用 `@ParameterizedTest` 减少重复代码
+8. **先写失败用例** — 确保测试确实能发现问题

package/templates/.claude/skills/testing-workflow/SKILL.md ADDED Viewed

@@ -0,0 +1,68 @@
+---
+name: testing-workflow
+description: 测试工作流技能。当用户需要编写测试、运行测试、检查测试覆盖率，或提到 JUnit、Mockito、MockMvc、测试规范时触发。
+---
+# 测试工作流
+## 测试框架
+- **单元测试**: JUnit 5 + Mockito
+- **集成测试**: Spring Boot Test
+- **API 测试**: MockMvc / RestAssured
+## 覆盖率要求
+- 单元测试覆盖率 > 70%
+- 核心业务逻辑覆盖率 > 90%
+- 所有 Controller 方法必须有测试
+## 测试命名规范
+```java
+@Test
+@DisplayName("当用户ID存在时，应该返回用户信息")
+void shouldReturnUserWhenUserIdExists() {
+    // given
+    Long userId = 1L;
+    // when
+    Result<UserResponse> result = userController.getUser(userId);
+    // then
+    assertThat(result.getCode()).isEqualTo(200);
+    assertThat(result.getData()).isNotNull();
+}
+```
+## 测试结构规则
+- 使用 Given-When-Then 结构
+- 每个测试只验证一个场景
+- 测试方法名清晰表达测试意图
+## 测试命令
+```bash
+# 运行所有测试
+mvn clean test
+# 运行单个测试类
+mvn test -Dtest=UserControllerTest
+# 生成测试覆盖率报告
+mvn clean test jacoco:report
+```
+## 工作流步骤
+1. 确认被测类的职责范围
+2. 为每个公共方法编写至少一个正向测试
+3. 为边界条件和异常路径编写测试
+4. 运行 `mvn clean test` 确认全部通过
+5. 检查覆盖率是否达标
+## 相关规则
+- [coding-standards.md](../../rules/coding-standards.md)
+- [architecture-redlines.md](../../rules/architecture-redlines.md)