airail 0.1.0

package/skills/universal/security/SKILL.md

@@ -0,0 +1,33 @@
+---
+name: security
+version: 1.0.0
+pack: universal
+description: 安全规范，OWASP Top 10 防护
+triggers:
+  - 安全
+  - SQL注入
+  - XSS
+  - 认证
+  - 权限
+---
+
+# 安全规范
+
+## 输入验证
+
+- 所有用户输入在系统边界验证，不信任任何外部数据
+- 使用参数化查询，禁止字符串拼接 SQL
+- 输出到 HTML 时转义特殊字符
+
+## 认证与授权
+
+- 密码必须 bcrypt/argon2 哈希存储，禁止明文或 MD5
+- Token 设置合理过期时间
+- 每个接口明确声明所需权限
+
+## 禁止事项
+
+- 禁止硬编码密钥/密码/token 到代码
+- 禁止在日志中打印密码、token、身份证号等敏感信息
+- 禁止在 URL 参数中传递敏感数据
+- 禁止 `eval()` 执行用户输入

package/skills/universal/skill-add/SKILL.md

@@ -0,0 +1,241 @@
+---
+name: add-skill
+description: |
+  当需要为框架增加新技能、为新的模块功能编写技能文档时自动使用此 Skill。
+
+  触发场景：
+  - 需要为新模块添加技能
+  - 需要为新功能编写技能文档
+  - 需要扩展框架的技能系统
+  - 需要将实现步骤转化为可复用技能
+
+  触发词：添加技能、创建技能、新技能、技能开发、写技能、技能文档、skill 创建
+---
+
+# 技能创建指南
+
+## 概述
+
+本指南用于添加新的技能（Skill）。技能通过 UserPromptSubmit Hook 自动评估和激活，确保 AI 在编码前加载领域专业知识。
+
+**技能系统工作原理**：
+
+```
+用户提交问题
+  ↓ skill-eval.js Hook 触发
+注入技能评估指令
+  ↓ AI 评估匹配的技能
+逐个调用 Skill(技能名)
+  ↓ 读取 .claude/skills/{技能名}/SKILL.md
+AI 获得领域知识后开始实现
+```
+
+---
+
+## YAML 头部规范
+
+每个 SKILL.md 文件**必须**以 YAML 头部开始：
+
+```yaml
+---
+name: {技能名称}
+description: |
+  {第一行：简短描述（一句话说明技能用途或定位）}
+
+  触发场景：
+  - {场景1}
+  - {场景2}
+  - {场景3}
+  （至少3个场景）
+
+  触发词：{关键词1}、{关键词2}、{关键词3}、{关键词4}、{关键词5}
+  （至少5个触发词，用中文顿号分隔）
+---
+```
+
+### name 字段规范
+
+| 规则 | 说明 | 示例 |
+|------|------|------|
+| **格式** | kebab-case（全小写，横线连接） | `json-serialization` |
+| **禁止** | 下划线、驼峰、空格 | ~~`json_serialization`~~, ~~`jsonSerialization`~~ |
+| **长度** | 1-4 个单词 | `ui-pc`, `crud-development`, `redis-cache` |
+
+### description 第一行风格
+
+第一行没有强制格式，参考现有技能的两种常见风格：
+
+**风格 A：直述型**（多数技能采用）
+```yaml
+description: |
+  后端 CRUD 开发规范。基于 RuoYi-Vue-Plus 三层架构。
+  后端安全开发规范。包含 Sa-Token 认证授权、数据脱敏。
+  后端工具类使用指南。包含 MapstructUtils、StringUtils 等。
+```
+
+**风格 B：触发型**
+```yaml
+description: |
+  当需要进行技术选型、对比方案时自动使用此 Skill。
+  当需要为框架增加新技能时自动使用此 Skill。
+```
+
+### 实际技能 YAML 头部示例
+
+```yaml
+---
+name: crud-development
+description: |
+  后端 CRUD 开发规范。
+
+  触发场景：
+  - 新建业务模块的 CRUD 功能
+  - 创建 Entity、BO、VO、Service、Mapper、Controller
+  - 分页查询、新增、修改、删除、导出
+  - 查询条件构建（buildQueryWrapper）
+
+  触发词：CRUD、增删改查、新建模块、Entity、BO、VO、Service、Mapper、Controller、分页查询、buildQueryWrapper、@AutoMapper、BaseMapperPlus、TenantEntity
+---
+```
+
+```yaml
+---
+name: redis-cache
+description: |
+  当需要使用Redis缓存、分布式锁、限流等功能时自动使用此Skill。
+
+  触发场景：
+  - 使用Redis缓存数据
+  - 配置Spring Cache缓存注解
+  - 实现分布式锁
+  - 实现接口限流
+
+  触发词：Redis、缓存、Cache、@Cacheable、@CacheEvict、@CachePut、RedisUtils、CacheUtils、分布式锁、RLock、限流、RateLimiter
+---
+```
+
+---
+
+## 第 1 步：规划
+
+### 1.1 定义技能属性
+
+创建前先明确：
+
+| 属性 | 说明 | 示例 |
+|------|------|------|
+| **名称** | kebab-case 格式 | `payment-gateway` |
+| **类别** | 后端/通用/前端（需 plus-ui） | 后端 |
+| **触发场景** | 至少 3 个具体场景 | 支付接入、退款处理、对账 |
+| **触发词** | 至少 5 个关键词 | 支付、退款、订单、对账、Payment |
+| **参考代码** | 项目中的真实代码位置 | `ruoyi-modules/ruoyi-system/` |
+
+### 1.2 检查范围冲突
+
+查看现有技能列表，确保不与已有技能重叠：
+
+**当前已有技能**（`.claude/skills/` 下 ）
+
+
+
+## 第 2 步：编写 SKILL.md
+
+### 2.1 文件位置
+
+```
+.claude/skills/{技能名}/SKILL.md
+```
+
+### 2.2 推荐内容结构
+
+```markdown
+---
+name: {技能名称}
+description: |
+  {描述、触发场景、触发词}
+---
+
+# {技能标题}
+
+## 概述
+{简明介绍，1-2 段}
+
+## 核心工具类/API
+{主要类和方法列表}
+
+## 使用规范
+{最佳实践和规则}
+
+## 代码示例
+{真实代码片段}
+
+## 常见错误
+{正确做法 vs 错误做法对比}
+
+## 注意
+{与其他技能的边界说明}
+```
+
+### 2.3 内容质量要点
+
+- **代码示例必须来自项目实际代码**，不要虚构类名、方法名
+- **技能内容应该通用**，避免特定项目的硬编码规范
+- 技能不需要固定行数要求，以内容实用为准（实际范围 200-650 行）
+
+### 2.4 不同类型技能的侧重
+
+| 类型 | 侧重 | 示例 |
+|------|------|------|
+| 后端开发类 | 代码模板、标准写法、禁止项 | crud-development |
+| 工具类 | API 列表、使用示例、返回值 | utils-toolkit |
+| 中间件类 | 配置方法、集成步骤、注意事项 | redis-cache |
+| 流程类 | 步骤说明、决策树、检查清单 | brainstorm |
+
+---
+
+## 第 3 步：验证技能
+
+### 完整检查清单
+
+**文件**：
+- [ ] `.claude/skills/{技能名}/SKILL.md` 已创建
+
+**YAML 头部**：
+- [ ] `name` 使用 kebab-case 格式
+- [ ] description 包含触发场景（至少 3 个）
+- [ ] description 包含触发词（至少 5 个）
+- [ ] 各部分之间有空行
+
+**内容**：
+- [ ] 代码示例来自项目实际代码，无虚构内容
+- [ ] 包名使用 `org.dromara.*`
+- [ ] 与现有技能无范围冲突（或已说明边界）
+
+---
+
+## 常见陷阱
+
+### 1. 触发词过于宽泛
+
+**症状**：技能在不相关场景被频繁误触发
+
+**原因**：触发词太通用（如"开发"、"功能"）
+
+**解决**：使用具体术语（如"CRUD开发"、"支付接入"）
+
+### 2. 代码示例虚构
+
+**症状**：AI 参考技能生成的代码使用了不存在的类或方法
+
+**原因**：编写技能时没有验证引用的类名、方法名在项目中真实存在
+
+**解决**：编写前用 Grep/Glob 搜索确认引用的类和方法确实存在
+
+### 3. 技能范围与现有技能重叠
+
+**症状**：同一个问题触发多个技能，指导矛盾
+
+**解决**：在 SKILL.md 末尾添加"注意"段落说明边界，例如：
+```
+注意：如果是行级数据权限（@DataPermission），请使用 data-permission。
+```

package/skills/universal/testing/SKILL.md

@@ -0,0 +1,39 @@
+---
+name: testing
+version: 1.0.0
+pack: universal
+description: 测试策略规范
+triggers:
+  - 测试
+  - 单元测试
+  - test
+  - mock
+---
+
+# 测试规范
+
+## 测试原则
+
+- 测试行为，不测实现细节
+- 一个测试只验证一件事
+- 测试名称描述场景：`should return 404 when user not found`
+
+## 测试结构（AAA）
+
+```
+Arrange - 准备数据
+Act     - 执行操作
+Assert  - 验证结果
+```
+
+## 什么值得测试
+
+- 业务逻辑（核心价值）
+- 边界条件（空值、最大值、负数）
+- 错误路径
+
+## 禁止事项
+
+- 禁止测试框架本身的行为
+- 禁止在测试中使用真实数据库/网络（用 mock）
+- 禁止测试私有方法（通过公共接口测试）

package/src/templates/CLAUDE.md

@@ -0,0 +1,11 @@
+# AI Coding Standards
+
+This project uses [airail](https://github.com/your-org/airail) to enforce coding standards.
+
+## Installed Skills
+
+Skills are located in `.claude/skills/`. The AI will automatically activate relevant skills before implementing code.
+
+## Adding Custom Rules
+
+Add project-specific rules to this file. They will be loaded at session start.

package/src/templates/agents/code-reviewer.md

@@ -0,0 +1,58 @@
+---
+name: code-reviewer
+description: 代码审查专家，在提交代码前进行全面的规范检查和质量评估。当用户完成功能开发、需要代码审查时调用。
+---
+
+# 代码审查专家
+
+## 角色定位
+
+你是一位严格的代码审查专家，熟悉本项目的所有规范。你的职责是在代码合并前发现问题，而不是帮助实现功能。
+
+## 审查流程
+
+1. 读取 `.claude/docs/后端开发指南.md` 和 `.claude/docs/数据库设计规范.md`
+2. 逐文件检查，按严重程度分类问题
+3. 输出结构化审查报告
+
+## 审查维度
+
+### 必须修复（阻塞合并）
+
+- 安全漏洞（SQL 注入、XSS、未授权访问）
+- 硬编码密码/密钥/敏感配置
+- 命名不符合项目规范
+- 缺少必要的事务注解
+- 直接暴露 Entity 作为接口返回值
+
+### 建议修复（不阻塞）
+
+- 代码重复（可提取工具方法）
+- 缺少注释的复杂逻辑
+- 性能隐患（N+1 查询、大循环等）
+- 异常处理不完整
+
+### 建议优化（可选）
+
+- 代码可读性改进
+- 更优雅的实现方式
+
+## 输出格式
+
+```
+📋 代码审查报告
+
+文件：{{FILE_PATH}}
+
+🔴 必须修复（{{COUNT}} 项）
+  - 行 {{LINE}}：{{ISSUE}}
+    建议：{{SUGGESTION}}
+
+🟡 建议修复（{{COUNT}} 项）
+  - 行 {{LINE}}：{{ISSUE}}
+
+🟢 建议优化（{{COUNT}} 项）
+  - {{ISSUE}}
+
+总结：{{SUMMARY}}
+```

package/src/templates/agents/project-manager.md

@@ -0,0 +1,45 @@
+---
+name: project-manager
+description: 项目管理助手，负责跟踪项目进度、管理待办事项、生成进度报告。当用户需要了解项目状态、规划下一步工作时调用。
+---
+
+# 项目管理助手
+
+## 角色定位
+
+你是项目管理助手，专注于跟踪进度和规划任务，不参与具体代码实现。
+
+## 核心职责
+
+1. **进度跟踪**：读取 `.claude/templates/项目状态.md`，分析当前完成情况
+2. **任务规划**：根据待办清单和代码现状，给出优先级建议
+3. **风险识别**：发现可能阻塞进度的问题，提前预警
+
+## 常用操作
+
+### 查看项目状态
+
+读取以下文件综合分析：
+- `.claude/templates/项目状态.md`
+- `.claude/templates/待办清单.md`
+- 项目目录结构（判断各模块完成度）
+
+### 更新进度
+
+当用户完成某个功能后：
+1. 在待办清单中标记对应任务为完成
+2. 更新项目状态文档的完成度
+3. 追加变更记录
+
+### 规划下一步
+
+根据以下因素给出建议：
+- 未完成的高优先级任务
+- 当前阻塞项
+- 模块间的依赖关系
+
+## 输出风格
+
+- 简洁直接，用数字和百分比量化进度
+- 高优先级问题用 🔴 标注
+- 已完成用 ✅，进行中用 🔄，待开始用 ⬜

package/src/templates/commands/add-todo.md

@@ -0,0 +1,24 @@
+# 添加待办事项
+
+> 使用方式：`/add-todo <任务描述>`
+
+## 执行流程
+
+1. 解析任务描述
+2. 追加到 `.claude/templates/项目状态.md` 的待办清单
+3. 输出确认信息
+
+## 示例
+
+```
+/add-todo 实现用户导出 Excel 功能
+/add-todo 修复订单列表分页 bug
+/add-todo 优化商品查询接口性能
+```
+
+## 输出格式
+
+```
+✅ 已添加待办：{{TASK}}
+当前待办总数：{{COUNT}} 项
+```

package/src/templates/commands/check.md

@@ -0,0 +1,42 @@
+# 代码规范检查
+
+> 使用方式：在 Claude Code 中输入 `/check`
+
+## 检查范围
+
+对当前改动的文件（或指定文件）进行规范检查。
+
+## 检查清单
+
+### 通用检查
+
+- [ ] 命名符合项目规范（参考 [后端开发指南](../docs/后端开发指南.md)）
+- [ ] 没有硬编码的配置项（密码、URL、密钥等）
+- [ ] 没有调试输出（console.log / System.out.println / print）
+- [ ] 异常处理使用项目统一方式
+- [ ] 没有重复代码（优先复用已有工具类）
+
+### 后端检查
+
+- [ ] 包名/命名空间符合规范
+- [ ] Controller 有统一返回格式包装
+- [ ] 写操作 Service 方法有事务注解
+- [ ] 敏感接口有权限校验注解
+- [ ] 入参有校验注解（@NotNull / @Valid 等）
+- [ ] 返回对象使用 VO/DTO，不直接暴露 Entity
+
+### 前端检查（如有）
+
+- [ ] 接口调用使用统一封装
+- [ ] 表单有前端校验
+- [ ] 异步操作有 loading 状态
+- [ ] 错误有友好提示
+
+## 输出格式
+
+```
+✅ 通过：xxx
+❌ 问题：xxx
+   位置：文件名:行号
+   建议：xxx
+```

package/src/templates/commands/crud.md

@@ -0,0 +1,27 @@
+# 快速生成 CRUD
+
+> 使用方式：`/crud <表名>` 或 `/crud`（交互式）
+
+## 执行流程
+
+1. 连接数据库，读取表结构（或由用户提供 DDL）
+2. 确认生成范围（仅后端 / 前后端全套）
+3. 按 [新功能开发流程](../docs/新功能开发流程.md) 生成代码
+4. 输出所有生成文件的清单
+
+## 生成内容
+
+- Entity / Domain
+- DTO / VO（查询入参 + 列表出参 + 详情出参）
+- Mapper / Repository + XML（如有）
+- Service 接口 + 实现
+- Controller（增删改查 + 分页列表）
+- 前端页面（如适用）
+
+## 与 /dev 的区别
+
+| | /crud | /dev |
+|---|---|---|
+| 适用场景 | 已有表，快速生成标准 CRUD | 新功能，包含业务逻辑设计 |
+| 交互程度 | 低，自动生成 | 高，需要确认方案 |
+| 业务逻辑 | 仅标准增删改查 | 包含复杂业务逻辑 |

package/src/templates/commands/dev.md

@@ -0,0 +1,21 @@
+# commands/dev.md
+# 开发新功能
+
+> 使用方式：在 Claude Code 中输入 `/dev`
+
+## 执行流程
+
+1. **需求确认**：理解要开发的功能，列出关键点
+2. **重复检查**：扫描现有代码，确认功能不重复
+3. **数据库分析**：检查是否需要新建表或修改现有表
+4. **方案设计**：列出要创建/修改的文件清单，等待确认
+5. **代码生成**：按 [新功能开发流程](../docs/新功能开发流程.md) 逐层实现
+6. **完成报告**：列出所有变更文件，提示下一步操作
+
+## AI 执行规则
+
+- 开始写代码前必须先列出方案，等待用户确认
+- 严格遵守 [后端开发指南](../docs/后端开发指南.md) 中的命名和分层规范
+- 新建表必须遵守 [数据库设计规范](../docs/数据库设计规范.md)
+- 优先复用 [工具类使用指南](../docs/工具类使用指南.md) 中的已有工具
+- 禁止修改框架核心代码

package/src/templates/commands/init-docs.md

@@ -0,0 +1,80 @@
+# 初始化项目规范文档
+
+> 使用方式：在 Claude Code 中输入 `/init-docs`
+> 适用场景：项目首次接入 AIRail 后，让 AI 读取现有代码自动填充 `.claude/docs/` 下的规范文档模板。
+> 前提条件：已执行 `airail init`，`.claude/docs/` 下已有空白模板文件。
+
+## 执行步骤
+
+### 第一步：探测项目基本信息
+
+读取以下文件（存在则读取）：
+- `pom.xml` / `build.gradle` → Java 项目，提取 groupId、依赖版本
+- `package.json` → Node 项目，提取 name、dependencies
+- `go.mod` → Go 项目，提取 module 名
+- `requirements.txt` / `pyproject.toml` → Python 项目
+- `*.csproj` → .NET 项目
+
+输出识别结果：项目名称、语言、框架、主要依赖版本。
+
+### 第二步：分析代码结构
+
+扫描项目目录（跳过 node_modules / target / dist / .git）：
+
+1. **包结构 / 目录结构**：列出顶层目录和主要子目录
+2. **命名规范**：抽取 3-5 个典型文件名，总结命名风格（驼峰/下划线/中划线）
+3. **代码分层**：识别 controller/service/repository 或 handler/service/dao 等分层模式
+4. **现有工具类**：找出 utils/helper/common 目录下的工具类，列出主要方法
+
+### 第三步：填充规范文档
+
+根据分析结果，逐一更新 `.claude/docs/` 下已有的模板文件（将 TODO 注释替换为真实内容）：
+
+#### 必须填充
+
+**`README.md`** — 项目概览
+- 填入真实的项目名称、技术栈版本
+- 填入真实的目录结构（从代码读取）
+- 填入真实的启动命令
+
+**`框架说明.md`** — 技术栈规范
+- 填入实际使用的框架版本
+- 根据代码中的实际用法描述使用规范
+- 列出项目中已有的核心依赖及用途
+
+**`后端开发指南.md`** — 后端规范，仅当存在后端代码时填充，否则保留空白模板
+- 从现有代码中提取真实的包名/命名空间
+- 描述实际的分层结构（从代码目录推断）
+- 提取 1-2 个现有接口作为标准示例
+
+**`前端开发指南.md`**：仅当存在前端代码时填充，否则保留空白模板
+#### 按需填充
+
+- **`数据库设计规范.md`**：仅当存在 ORM 依赖或 SQL 文件时填充
+- **`工具类使用指南.md`**：扫描 utils/helper/common 目录，列出已有工具类及用法
+
+### 第四步：汇报结果
+
+生成完成后输出：
+
+```
+已填充/更新以下文档：
+  ✔ .claude/docs/README.md
+  ✔ .claude/docs/框架说明.md
+  ✔ .claude/docs/后端开发指南.md
+  ...
+
+仍需人工补充（搜索 TODO 标记）：
+  - 业务模块职责说明
+  - 代码审查标准
+  - 禁止事项清单
+
+下一步：重启 Claude Code 会话使文档生效，然后输入 /start 让 AI 了解项目。
+```
+
+## 注意事项
+
+- 优先从代码中读取真实信息，不使用占位符
+- 如果某项信息无法从代码推断，保留 `TODO:` 标记并说明原因
+- 不覆盖用户已手动编辑过的内容（检查文件修改时间或询问用户）
+- 文档语言与项目代码注释语言保持一致

package/src/templates/commands/next.md

@@ -0,0 +1,31 @@
+# 下一步建议
+
+> 使用方式：在 Claude Code 中输入 `/next`
+
+## 执行流程
+
+1. 读取项目状态文档和待办清单
+2. 分析当前代码完成情况
+3. 给出优先级排序的下一步建议
+
+## 输出格式
+
+```
+🎯 下一步建议
+
+高优先级：
+  1. {{HIGH_PRIORITY_1}}  原因：{{REASON}}
+  2. {{HIGH_PRIORITY_2}}
+
+中优先级：
+  3. {{MID_PRIORITY_1}}
+
+需要确认：
+  ❓ {{QUESTION_1}}
+```
+
+## 建议优先级规则
+
+- **高**：阻塞其他功能开发的基础模块、已承诺的功能
+- **中**：独立功能模块、优化项
+- **低**：文档完善、重构、非紧急优化

package/src/templates/commands/progress.md

@@ -0,0 +1,38 @@
+# 项目进度梳理
+
+> 使用方式：在 Claude Code 中输入 `/progress`
+
+## 执行流程
+
+1. 扫描项目所有模块目录
+2. 分析各模块代码完整性（有无 Controller/Service/Mapper）
+3. 读取 `.claude/templates/项目状态.md` 中的待办清单
+4. 输出进度报告
+
+## 输出格式
+
+```
+📊 项目进度报告
+
+已完成模块：
+  ✅ {{MODULE_1}} - 增删改查完整
+  ✅ {{MODULE_2}} - 增删改查完整
+
+进行中：
+  🔄 {{MODULE_3}} - Service 已完成，Controller 待实现
+
+待开始：
+  ⬜ {{MODULE_4}}
+
+待办事项（来自项目状态文档）：
+  - [ ] {{TODO_1}}
+  - [ ] {{TODO_2}}
+```
+
+## 完成度判定标准
+
+| 状态 | 判定条件 |
+|------|---------|
+| ✅ 完成 | Controller + Service + Mapper/Repository 均存在 |
+| 🔄 进行中 | 部分层已实现 |
+| ⬜ 待开始 | 仅有表结构或需求，无代码 |