32 lines
894 B
Markdown
32 lines
894 B
Markdown
# 2026-06-04 — Phase2 P2-5 webssh.py 全文深审
|
||
|
||
## 摘要
|
||
|
||
P2-5:`webssh.py` 401 行全文 + auth 签发链 + 前端 WS 连接;17 H closure,无 P0/P1。
|
||
|
||
## 动机
|
||
|
||
Phase 2 优先级第 3 项;D3 仅分段审计 WebSSH,本波补全文至 EOF。
|
||
|
||
## 涉及文件
|
||
|
||
| 文件 | 说明 |
|
||
|------|------|
|
||
| `docs/reports/audit-phase2-2026-06-04-waveP2-5.md` | 深审报告 |
|
||
| `server/api/webssh.py` | WebSocket 终端全文 Read |
|
||
|
||
## 结论
|
||
|
||
- purpose=webssh + server_id 绑定防 IDOR;通用 access token 不可用
|
||
- tv 校验与 15 分钟短期令牌;签发端需 JWT
|
||
- SSH 凭据预检、审计 connect/disconnect、命令日志 2000 字符上限
|
||
- query JWT(ADR-011)与危险命令 warn-only 为已接受 RISK
|
||
|
||
## 验证
|
||
|
||
```bash
|
||
bash scripts/local_verify.sh
|
||
```
|
||
|
||
进度:`☑实现 ☑本地验证 ☑审计8步 □部署 □健康检查 □浏览器验证 ☑changelog`
|