Files
Nexus/docs/reports/2026-06-06-api-audit-b3-auth.md
T
Nexus Agent 722917bfc9 fix(api): API 全量巡检 B1–B6 修复 server_ids 上限与 pending 审计
限制健康检查/推送/脚本执行的 server_ids 规模,补齐 pending 重试失败与删除审计,并附分批巡检报告。

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-06 23:57:46 +08:00

859 B
Raw Blame History

API 巡检 B3 — auth.py + auth_jwt.py + dependencies.py

日期: 2026-06-06

结论: PASS0 P0/P1/P2,无代码修改)

模块 端点/职责 结果
auth.py login/refresh/logout/TOTP/password/webssh-token/me ✓ refresh HttpOnly cookie;改密/TOTP 需 JWT
auth_jwt.py JwtAuthMiddleware + get_current_admin ✓ PUBLIC_PREFIXES 白名单;tv 版本校验
dependencies.py DI + check_dangerous_command ✓ 无 session 泄漏;危险命令 warning 日志

要点

  • 登录失败 → 429 锁定(auth_service
  • Refresh 重用检测 + token_version 递增(test_auth_refresh_reuse.py 覆盖)
  • WebSSH token 独立 purpose=webssh + server_id 绑定
  • check_dangerous_command警告不阻断(单人运维接受,与 Scripts/WebSSH 一致)