5D 先固定 WebApi auth / Swagger 的外部暴露邊界、候選程式位置、測試策略與停止線。使用者完成七項確認前,不修改程式 repo,不新增套件,不啟用 Swagger,不導入 auth middleware,也不改 production 部署設定。
0. 文件狀態
| 文件狀態 | 已建立,等待 5D 七項確認 |
|---|---|
| 建立日期 | 2026-06-07 |
| 程式基準 | 354fecd,5C DB audit 第一批已完成 |
| 本次是否修改程式 repo | 否,只做唯讀檢查、測試基準與文件整理 |
1. WebApi 現況
| 檢查項目 | 結果 |
|---|---|
| 現有 controller | TasksController、DevicesController、SchemaController、HealthController |
| Startup | 目前只有 AddControllers()、mock / in-memory DI、routing 與 endpoints。 |
| Auth / Authorization | 未命中 AddAuthentication、UseAuthentication、Authorize。 |
| Swagger / OpenAPI | 未命中 AddSwaggerGen、UseSwagger 或 Swagger package。 |
| 5D 測試基準 | WebApi.Tests 7 passed / 0 failed / 0 skipped。 |
2. 建議邊界
| 項目 | 建議 |
|---|---|
| API 保護 | tasks、devices、schema 需授權;/health 是否匿名需決策並測試。 |
| Auth 模型 | 第一版採可測試的最小 API gate;JWT / OAuth / OIDC 延後另行確認。 |
| Secret | 不保存正式 API key、token、JWT secret、client secret、正式 IP 或正式網域。 |
| Swagger | 只允許 development / local gate,production 預設 disabled。 |
3. 明確排除
- 不新增正式 credential,不修改 GitHub Secret、Cloudflare、DNS、TLS 或正式部署設定。
- 不將 Swagger 開放為 production 外網入口。
- 不新增 DB DDL、Windows Service、外部 DLL 或 Adapter public contract 變更。
4. 下一步
請先確認 5D auth / Swagger 實作前確認表 七項;確認前只停留在文件、唯讀檢查與測試基準。