Elaina/ephron-ren-prd
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: add batch 2 follow-up unification PRD

Browse Source
This commit is contained in:
Ubuntu
2026-05-16 15:06:53 +08:00
parent 9129903672
commit aebe281a05
1 changed files with 404 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

404
prd-app-factory-config-unification-batch2-followup.md Normal file
View File

@@ -0,0 +1,404 @@
# PRD — App Factory / Config Unification Batch 2 Follow-up
## 背景
基于 `origin/main` 最新代码的完整复审Batch 2 已经完成了两项重要统一:
1. 五个服务入口 `main.py` 已统一切到 `shared.app_factory.create_service_app(...)`
2. 五个服务配置 `config.py` 已基本统一切到 `shared.config_base`
对应远端提交主线为:
- `14484ca` Add shared modules: app factory, config base, error handlers with tests
- `6d94b08` Refactor all apps to use shared config and app factory
- `378a4e5` Update home pages route and add test templates
这说明 Batch 2 的方向是正确的,且公共启动逻辑已经完成第一轮收敛。
但完整复审后,当前状态还不能定义为“重构完成”。现有实现仍存在三类结构性残留:
- 入口层和业务层仍大量依赖 `sys.path.insert(...)` 做导入兜底
- `shared.app_factory` 已把 `slowapi` 变成统一启动依赖,但测试/安装契约没有同步补齐
- home/admin 的认证守卫仍是服务内私有实现,没有进一步抽象为 shared guard helper后续容易再次漂移
因此需要补一轮 follow-up 修正,目标不是继续大规模抽象,而是把 Batch 2 从“表面统一”推进到“结构上站稳”。
---
## 本轮目标
1. 消除本轮重构后最显著的导入技术债,减少 `sys.path.insert(...)` 残留
2. 补齐 `slowapi` 的依赖契约与测试契约,确保 shared factory 在开发、测试、部署三条链路上一致
3. 为 home/admin 当前的路由守卫模式定义统一抽象边界,避免未来各服务重复复制 `_require_auth(...)`
4. 补齐回归验证标准,让“通过”不再只表示 shared 单测通过,而是关键服务入口也能被实际导入/启动
---
## 非目标
本轮不做以下内容:
- 不重写整站认证体系
- 不把所有服务的 auth/token 校验一次性全量抽到 shared
- 不强行改成 Python package 完整安装式布局(如一次性引入 pyproject + editable install 作为唯一导入方案)
- 不改动业务权限模型本身
- 不为所有历史测试做全面 fixture 重构
本轮只处理 Batch 2 复审中已经暴露、且会持续影响后续维护的最小必要问题。
---
## 发现的问题
### P0. shared factory 统一后,`slowapi` 变成强依赖,但测试/环境契约未同步
#### 现象
复审中执行:
```bash
python -m pytest tests/test_security_hardening.py tests/test_frontend_backend_reuse_contract.py -q
```
结果通过:
```text
13 passed
```
但执行 auth 侧 smoke tests
```bash
python -m pytest auth/tests/test_security_hardening.py auth/tests/test_login_redirect_flow.py -q
```
结果在 collection 阶段失败:
```text
ModuleNotFoundError: No module named 'slowapi'
```
#### 根因
`shared.app_factory.py` 直接导入:
- `from slowapi import _rate_limit_exceeded_handler`
- `from slowapi.errors import RateLimitExceeded`
这意味着一旦服务入口统一切到 shared factory`slowapi` 就不再是某些服务“可选依赖”,而是所有服务公共启动路径的硬依赖。
但是当前测试环境或依赖清单没有保证这一点,导致:
- shared 层合同测试可以过
- 真实服务入口测试却无法 import app
这会制造“重构似乎完成,但服务级 smoke 根本没跑”的假阳性。
#### 需要修改
1. 检查并统一项目依赖声明,确保 `slowapi` 出现在实际安装入口中
-`requirements*.txt` / 服务依赖清单 / 部署安装脚本中必须一致
2. 如果项目采用多入口安装方式,至少保证:
- 本地开发安装能拿到 `slowapi`
- CI / 测试安装能拿到 `slowapi`
- 生产部署安装能拿到 `slowapi`
3. 补一条最小 smoke 验证:
- 能成功 `import auth/src/main.py` 对应 app
- 能成功 `import home/src/main.py` 对应 app
#### 验收标准
以下命令在标准开发环境中必须通过:
```bash
python -m pytest tests/test_security_hardening.py tests/test_frontend_backend_reuse_contract.py -q
python -m pytest auth/tests/test_security_hardening.py auth/tests/test_login_redirect_flow.py -q
```
不允许再出现 `ModuleNotFoundError: slowapi`
---
### P1. `sys.path.insert(...)` 残留过多,说明 shared 化尚未形成稳定导入边界
#### 现象
本轮复审中,目标文件本身仍保留路径注入:
- `auth/src/config.py`
- `blog/src/config.py`
- `canvas/src/config.py`
- `prompt/src/config.py`
- `home/src/config.py`
- `auth/src/main.py`
- `blog/src/main.py`
- `canvas/src/main.py`
- `prompt/src/main.py`
- `home/src/main.py`
此外,搜索结果表明更多 route / service / test 文件中也仍在重复同一模式。
#### 问题
这说明当前 shared 重构虽然抽走了公共逻辑,但**没有真正建立清晰的模块导入边界**。直接后果有三个:
1. 各服务仍默认依赖“脚本式运行 + 手动改 sys.path”
2. 测试文件需要反复插 path 才能 import `src.*`
3. 后续任何目录结构变化,都会在多个服务同时引发脆弱导入问题
#### 本轮建议策略
不要一口气清理全仓所有 `sys.path.insert(...)`,而是先做“核心路径收缩”:
##### 第一阶段:只处理 Batch 2 涉及的入口与配置
目标:
- 让五个 `main.py`
- 五个 `config.py`
尽量不再各自复制路径注入模板。
推荐方案二选一:
**方案 A抽一个 shared import bootstrap helper**
- 新建如 `shared/imports.py` 或等价模块
- 提供统一函数,例如:
- `ensure_project_root(__file__, levels=3)`
- 所有入口/配置文件统一调用这一 helper而不是手写 `Path(...); if str(...) not in sys.path: sys.path.insert(...)`
**方案 B明确项目运行约定减少入口内 path hack**
- 如果现有运行方式允许,以仓库根目录为 working directory 运行 uvicorn / pytest
- 配合测试配置修正 import path
- 让入口文件不再自己改 `sys.path`
本轮更推荐 **方案 A**,原因:
- 改动小
- 风险低
- 不要求一次性重建整个包结构
- 能先消掉最显眼的重复模板
##### 第二阶段:只在 follow-up 里列出,不要求本轮全做
- route 层残留 `sys.path.insert(...)`
- service 层残留 `sys.path.insert(...)`
- test 层残留 `sys.path.insert(...)`
这部分可以作为下一轮技术债治理,不在本轮强制清仓。
#### 验收标准
至少以下 10 个文件不再各自手写重复的 `sys.path.insert(...)` 模板,或改为统一 helper
- `auth/src/config.py`
- `blog/src/config.py`
- `canvas/src/config.py`
- `prompt/src/config.py`
- `home/src/config.py`
- `auth/src/main.py`
- `blog/src/main.py`
- `canvas/src/main.py`
- `prompt/src/main.py`
- `home/src/main.py`
并补一条测试/检查,验证这些入口仍可被正常导入。
---
### P1. home/admin 路由守卫真实存在,但仍是私有实现,后续易漂移
#### 现象
`home/src/routes/admin.py` 目前已经具备明确的服务端守卫逻辑:
- `_require_auth(...)` 负责 cookie 用户校验
- 未登录跳转到 auth 登录页,并携带 redirect
- 已登录但无权限时拒绝或回首页
- service token 明确禁止访问 home admin
这说明 ephron.ren 现状是:
- 前台公开页无全局 guard
- 管理后台路由有服务端 guard
这一方向本身是合理的。
#### 问题
现在的 guard 逻辑仍被实现为 `home` 服务内部私有函数,风险在于:
1. 如果 blog/canvas/prompt 后续继续补 admin 规则,很容易各自再复制一份 `_require_auth(...)`
2. 登录跳转、redirect 处理、service token 禁入策略可能在不同服务间漂移
3. 审计时很难快速确认“所有 admin 路由是否遵循同一守卫契约”
#### 本轮要求
本轮不要求把所有服务的鉴权都重构完,但至少要把“守卫抽象边界”定下来。
推荐最小改法:
1.`shared/` 新增 admin guard helper命名可调整
- 负责未登录重定向的通用拼装
- 负责 service token 是否允许访问 admin 的统一策略
- 负责权限失败的统一响应约定
2. `home/src/routes/admin.py` 改为消费 shared helper而不是继续把完整策略内嵌在文件内部
3. 先以 home 为落点,其他服务后续增量迁移
#### 范围边界
本轮 shared guard helper 不要求覆盖:
- 所有业务权限判断细节
- 各服务特有的资源级校验
- 所有服务 token 行为差异
只需要先统一“admin 入口守卫”的公共骨架。
#### 验收标准
- `home/src/routes/admin.py` 中不再保留大段内联守卫模板代码
- 登录跳转、redirect、service token 禁止访问 admin 的公共逻辑进入 shared helper
- 现有 home admin 行为保持不变
---
### P2. 当前回归验证偏 shared 层,缺少“服务入口可导入”级别的合同测试
#### 现象
当前已经有的 shared/contract 测试能证明:
- 安全头策略存在
- reuse contract 存在
但它们不能证明:
- 五个服务入口都还能成功 import
- shared app factory 的依赖在真实入口层可用
- 各服务在统一 factory 下仍保持自己的 startup 责任
#### 需要补齐
新增一组轻量合同测试,目标不是测业务,而是测“入口仍然站得住”:
建议至少覆盖:
1. 五个服务入口可导入
- `auth/src/main.py`
- `blog/src/main.py`
- `canvas/src/main.py`
- `prompt/src/main.py`
- `home/src/main.py`
2. 导入后存在 `app`
3. `app.routes` 中至少包含 `/health`
4. docs 开关、static mount、router 注入保留各自行为(可做轻量断言)
#### 验收标准
新增测试在标准环境下通过,并能在 shared factory 依赖缺失、入口装配损坏、health route 丢失时给出明确失败信号。
---
## 建议实施顺序
### Task 1 — 补齐 `slowapi` 依赖契约
- 检查根依赖声明
- 检查测试环境安装入口
- 补齐缺失项
- 跑 auth smoke tests 验证
### Task 2 — 收缩 Batch 2 目标文件中的 path hack
- 先只处理五个 `main.py`
- 再处理五个 `config.py`
- 如果采用 shared helper保证 helper 本身足够轻量,不引入新的循环依赖
### Task 3 — 提取 home admin guard 公共骨架
- 保留当前行为不变
- 只抽公共流程,不重写权限模型
- 先让 `home` 成为第一个 shared guard 使用者
### Task 4 — 补轻量入口合同测试
- 测入口 import
-`/health`
- 测 shared factory 关键装配结果
---
## 建议涉及文件
### 必改
- `shared/app_factory.py`
- `shared/config_base.py`(如需辅助 import/helper可一并评估
- `auth/src/main.py`
- `blog/src/main.py`
- `canvas/src/main.py`
- `prompt/src/main.py`
- `home/src/main.py`
- `auth/src/config.py`
- `blog/src/config.py`
- `canvas/src/config.py`
- `prompt/src/config.py`
- `home/src/config.py`
- 依赖声明文件(按实际项目结构)
### 可能新增
- `shared/imports.py` 或等价 helper
- `shared/admin_guard.py` 或等价 helper
- 新的入口合同测试文件
### 本轮只观察,不强制修改
- `home/src/services/auth.py`
- 其他 route/service/test 中的历史 `sys.path.insert(...)`
---
## 验证命令
至少执行并记录以下命令:
```bash
cd /home/ubuntu/ephron.ren
git fetch origin
python -m pytest tests/test_security_hardening.py tests/test_frontend_backend_reuse_contract.py -q
python -m pytest auth/tests/test_security_hardening.py auth/tests/test_login_redirect_flow.py -q
```
如果新增了入口合同测试,再补:
```bash
python -m pytest tests/test_service_entrypoints.py -q
```
如有 home/admin 相关抽象变动,补对应最小验证:
```bash
python -m pytest home/tests -q
```
---
## 完成定义
满足以下条件才算本轮完成:
1. `slowapi` 不再导致服务入口测试 import 失败
2. Batch 2 涉及的 10 个入口/配置文件不再各自复制同一段 path 注入模板,或至少统一为同一个 helper
3. home/admin 的公共守卫骨架进入 shared 层,当前行为无回归
4. 新增轻量入口合同测试,能证明五个服务入口仍可正常装配
5. 所有新增/修改测试通过
---
## 备注
本 PRD 的定位不是重新定义 Batch 2而是对 Batch 2 做“完整复审后的结构补强”。
换句话说,前一轮已经解决“多个服务启动方式不统一”的问题;这一轮要解决的是:
- 统一之后是否真的可维护
- 统一之后测试是否真能覆盖到入口层
- 统一之后 guard/导入边界是否足够稳定
这轮做完,才能把 Batch 2 从“完成了一次重构”提升为“建立了可持续的基础设施约束”。