Files

beabigegg 9b220523ff feat: complete issue fixes and implement remaining features

## Critical Issues (CRIT-001~003) - All Fixed
- JWT secret key validation with pydantic field_validator
- Login audit logging for success/failure attempts
- Frontend API path prefix removal

## High Priority Issues (HIGH-001~008) - All Fixed
- Project soft delete using is_active flag
- Redis session token bytes handling
- Rate limiting with slowapi (5 req/min for login)
- Attachment API permission checks
- Kanban view with drag-and-drop
- Workload heatmap UI (WorkloadPage, WorkloadHeatmap)
- TaskDetailModal integrating Comments/Attachments
- UserSelect component for task assignment

## Medium Priority Issues (MED-001~012) - All Fixed
- MED-001~005: DB commits, N+1 queries, datetime, error format, blocker flag
- MED-006: Project health dashboard (HealthService, ProjectHealthPage)
- MED-007: Capacity update API (PUT /api/users/{id}/capacity)
- MED-008: Schedule triggers (cron parsing, deadline reminders)
- MED-009: Watermark feature (image/PDF watermarking)
- MED-010~012: useEffect deps, DOM operations, PDF export

## New Files
- backend/app/api/health/ - Project health API
- backend/app/services/health_service.py
- backend/app/services/trigger_scheduler.py
- backend/app/services/watermark_service.py
- backend/app/core/rate_limiter.py
- frontend/src/pages/ProjectHealthPage.tsx
- frontend/src/components/ProjectHealthCard.tsx
- frontend/src/components/KanbanBoard.tsx
- frontend/src/components/WorkloadHeatmap.tsx

## Tests
- 113 new tests passing (health: 32, users: 14, triggers: 35, watermark: 32)

## OpenSpec Archives
- add-project-health-dashboard
- add-capacity-update-api
- add-schedule-triggers
- add-watermark-feature
- add-rate-limiting
- enhance-frontend-ux
- add-resource-management-ui

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

2026-01-04 21:49:52 +08:00

6.4 KiB

Raw Blame History

User Authentication & Authorization

Purpose

使用者認證與授權系統，透過外部認證 API 進行身份驗證，提供細部權限控制。

Requirements

Requirement: API-Based Authentication

系統 SHALL 限定使用外部認證 API (https://pj-auth-api.vercel.app) 進行登入認證，不支援其他認證方式。

Scenario: API 登入成功

GIVEN 使用者擁有有效的企業帳號
WHEN 使用者透過前端提交憑證
THEN 系統呼叫 https://pj-auth-api.vercel.app 驗證憑證
AND 驗證成功後建立 session 並回傳 JWT token

Scenario: API 登入失敗

GIVEN 使用者提供無效的憑證
WHEN 使用者嘗試登入
THEN 認證 API 回傳錯誤
AND 系統拒絕登入並顯示錯誤訊息
AND 記錄失敗的登入嘗試

Scenario: 認證 API 無法連線

GIVEN 認證 API 服務無法連線
WHEN 使用者嘗試登入
THEN 系統顯示服務暫時無法使用的訊息
AND 記錄連線失敗事件

Requirement: System Administrator

系統 SHALL 預設一個系統管理員帳號，擁有所有權限。系統管理員帳號必須存在於外部認證系統，且登入流程仍需透過外部認證 API；不允許本地繞過認證。

Scenario: 預設管理員帳號

GIVEN 系統初始化完成
WHEN 系統啟動
THEN 存在預設管理員帳號 ymirliu@panjit.com.tw
AND 該帳號擁有 super_admin 角色
AND 該帳號不可被刪除或降級

Scenario: 管理員登入流程

GIVEN 管理員帳號 ymirliu@panjit.com.tw 需要登入
WHEN 管理員提交憑證
THEN 系統仍需呼叫 https://pj-auth-api.vercel.app 驗證
AND 不存在任何本地繞過認證的機制
AND 驗證成功後才授予 super_admin 權限

Scenario: 管理員全域權限

GIVEN 管理員帳號 ymirliu@panjit.com.tw 已通過 API 認證並登入
WHEN 管理員存取任何資源
THEN 系統允許存取，無視部門隔離限制

Requirement: Role-Based Access Control

系統 SHALL 支援基於角色的存取控制 (RBAC)。

Scenario: 角色權限檢查

GIVEN 使用者被指派特定角色 (如：工程師、主管、PMO)
WHEN 使用者嘗試存取受保護的資源
THEN 系統根據角色權限決定是否允許存取

Scenario: 角色指派

GIVEN 管理員擁有使用者管理權限
WHEN 管理員為使用者指派角色
THEN 系統更新使用者的角色設定
AND 新權限立即生效

Requirement: Department Isolation

系統 SHALL 實施部門級別的資料隔離，確保跨部門資料安全。

Scenario: 部門資料隔離

GIVEN 使用者屬於研發部門
WHEN 使用者嘗試存取廠務部門的專案
THEN 系統拒絕存取並顯示無權限訊息

Scenario: 跨部門專案存取

GIVEN 專案被設定為跨部門可見
WHEN 不同部門的使用者嘗試存取該專案
THEN 系統根據專案的 Security_Level 設定決定是否允許存取

Requirement: Session Management

系統 SHALL 管理使用者 session，包含過期與登出機制。

Scenario: Session 過期

GIVEN 使用者已登入系統
WHEN Session 超過設定的有效期限
THEN 系統自動使 session 失效
AND 使用者需重新登入

Scenario: 主動登出

GIVEN 使用者已登入系統
WHEN 使用者執行登出操作
THEN 系統銷毀 session 並清除 token

Requirement: API Rate Limiting

The system SHALL implement rate limiting to protect against brute force attacks and DoS attempts.

GIVEN a client IP has made 5 login attempts within 1 minute
WHEN the client attempts another login
THEN the system returns HTTP 429 Too Many Requests
AND the response includes a Retry-After header

Scenario: Rate limit window reset

GIVEN a client has exceeded the rate limit
WHEN the rate limit window expires (1 minute)
THEN the client can make new requests

Scenario: Rate limit per IP

GIVEN rate limiting is IP-based
WHEN different IPs make requests
THEN each IP has its own rate limit counter

Data Model

pjctrl_users
├── id: UUID (PK)
├── email: VARCHAR(200) UNIQUE
├── name: VARCHAR(200)
├── department_id: UUID (FK)
├── role_id: UUID (FK)
├── skills: JSON
├── capacity: DECIMAL (週工時上限)
├── is_active: BOOLEAN
├── is_system_admin: BOOLEAN DEFAULT false (不可修改的系統管理員標記)
├── created_at: TIMESTAMP
└── updated_at: TIMESTAMP

pjctrl_departments
├── id: UUID (PK)
├── name: VARCHAR(100)
├── parent_id: UUID (FK, self-reference)
└── created_at: TIMESTAMP

pjctrl_roles
├── id: UUID (PK)
├── name: VARCHAR(50)
├── permissions: JSON
├── is_system_role: BOOLEAN DEFAULT false
└── created_at: TIMESTAMP

Default Data (Seed)

-- 預設系統管理員角色
INSERT INTO pjctrl_roles (id, name, permissions, is_system_role) VALUES
('00000000-0000-0000-0000-000000000001', 'super_admin', '{"all": true}', true);

-- 預設系統管理員帳號
INSERT INTO pjctrl_users (id, email, name, role_id, is_active, is_system_admin) VALUES
('00000000-0000-0000-0000-000000000001', 'ymirliu@panjit.com.tw', 'System Administrator',
 '00000000-0000-0000-0000-000000000001', true, true);

External Dependencies

Authentication API: https://pj-auth-api.vercel.app (唯一認證方式)

Authentication Flow

┌─────────┐     ┌─────────────┐     ┌──────────────────────────┐
│  User   │────▶│  Frontend   │────▶│  pj-auth-api.vercel.app  │
└─────────┘     └─────────────┘     └──────────────────────────┘
                      │                         │
                      │◀────── JWT Token ───────│
                      │
                      ▼
               ┌─────────────┐
               │   Backend   │ (驗證 JWT, 建立 Session)
               └─────────────┘

6.4 KiB Raw Blame History Unescape Escape