5D 涉及 API 權限、Swagger 暴露面、secret 管理與正式部署風險,因此本確認表必須在任何程式 repo 修改前完成。
1. 實作前七項確認
| 編號 | 確認項 | 建議決策 |
|---|---|---|
| 1 | 實作範圍 | 只處理 WebApi auth / Swagger 最小安全邊界、測試與文件,不修改正式部署設定。 |
| 2 | Auth 模型 | 先採可測試的最小 API gate;JWT / OAuth / OIDC / 外部 IdP 延後。 |
| 3 | Secret 停止線 | repo 不保存正式 API key、token、JWT secret、client secret、正式 IP、正式網域或正式帳號。 |
| 4 | API 保護範圍 | tasks、devices、schema 等 API 需授權;/health 是否匿名需明確測試。 |
| 5 | Swagger 停止線 | Swagger 若導入,只允許 development / local gate;production 預設 disabled。 |
| 6 | 測試與驗收 | 需執行 WebApi tests、Application tests、solution tests、停止線掃描與 commit 前檢查。 |
| 7 | 排除項目 | 不做 DB DDL、Windows Service、外部 DLL、Adapter contract 或正式部署權限設定。 |
2. 建議回覆格式
5D auth / Swagger 實作前確認: 1. 同意 2. 同意 3. 同意 4. 同意 5. 同意 6. 同意 7. 同意
3. 未確認前停止線
在使用者完成七項確認前,不得修改程式 repo,不得新增 auth middleware、Swagger 套件、controller [Authorize]、production Swagger 設定、正式 secret、正式部署設定,也不得新增 WebApi route 或改既有 route 語意。