P0安全修复: WS token改subprotocol + nginx日志关闭 + 类型修复 + 降级验证 + 依赖

2026-06-14 21:21:48 +08:00
parent edbb86835e
commit ddebbe61a5
12 changed files with 628 additions and 27 deletions
@@ -190,3 +190,23 @@ wecom_it_smart_desk/
 ---

 *最后更新：2026-06-03 - 合并文档，反映当前实际完成进度*
+
+---
+
+## 🏛️ 仓库与治理
+
+- **Gitea 仓库（公网 Funnel）**: `https://ds923plus.tail58d872.ts.net/simon/wecom_it_smart_desk`
+- **Gitea 内网地址（LAN 加速）**: `http://100.85.152.112:8418/simon/wecom_it_smart_desk`
+- **贡献指南**: [`CONTRIBUTING.md`](CONTRIBUTING.md) — 分支模型 + Commit 规范 + PR 流程
+- **评审报告**: [`docs/评审报告/`](docs/评审报告/) — 历次 workbuddy 推送评审
+- **风险跟踪表**: [`docs/风险跟踪表.md`](docs/风险跟踪表.md) — 22 项审计追踪
+- **workbuddy 记忆**: [`.workbuddy/memory/`](.workbuddy/memory/) — workbuddy 启动读这里接任务
+
+### 评审与提交约定
+
+- 🔴 **所有 P0 鉴权修复必须走评审**（`docs/评审报告/` 留档，含 workbuddy 推送）
+- 🟡 **端点变更需 `Depends(get_current_agent)` 或 `_get_current_employee` 鉴权依赖**
+- 🟡 **数据库 schema 变化必须 alembic 迁移**（无手动 ALTER）
+- 🟢 **workbuddy 推送前自检**: 鉴权 + 依赖 + alembic + 配置 4 件套
+- 🟢 **任何部署包 / SSL 私钥 / 推送 token 不入仓**（见 `.gitignore`）
+