audit / 2026-05-17
wwei.ai 权限系统
技术评估报告
4 维度 sub-agent 并行审计 · OWASP Top 10 + SRE Best Practices + GDPR / 个保法 · 基于 30+ 核心源文件实证。
综合健康度
5.0/10
行业基准对比
玩具 0及格 6商业级 810
能跑,"MVP+ 早期产品"水平。距"工程化生产系统"差 6 个工作日 + $45/月。
30 秒结论
你最关心的,答案在这里
整体能不能用?
能跑,但是"MVP+ 早期产品"水平。距离"工程化生产系统"还有 6 个工作日 的差距。
被攻破后数据安全吗?
不安全。
service_role key 一旦泄漏 = 全表 CRUD。IP / UA / email 零脱敏。挂了多久能知道?
不知道。零监控告警,全靠用户告诉你。
最致命单点风险?
Supabase 7 天无活动会 pause → Worker fail-open → 所有受限站全开。
现在必须修什么?
7 个 P0(见下),其中 3 个 30 分钟内可修完。
要花钱的?
$45 / 月(Vercel Pro + Supabase Pro),把系统从"个人玩具"拉到"商业级"。
综合评分卡
4 个维度的体检结果
→
01 / SECURITY
安全:认证 · 授权 · 注入 · 密钥
C+距 B+ 有 3 个 P0
- JWT aud/iss 校验有绕过
- policy fail-open 全站打开
- callback 错误泄漏 ClientID
02 / ARCHITECTURE
架构与代码质量
3.0/ 5
- passthrough 一函数 7 责
- fetchVercelSubs 重复 3 次
- 错误响应结构 4 种并存
03 / DATA
数据安全与持久层
D+最弱维度
- service_role 三处使用
- 无 PITR 无每日备份
- PII 零脱敏永久保留
04 / RELIABILITY
运维可靠性 + 监控
3.6/ 10
- 零监控告警
- 凭据永不过期
- 零自动化测试 / lint
7 大 P0 · 影响 × 概率矩阵
真出事会从这 7 个口子里出
合并去重后的 18 个 P0 → 7 个核心问题。点击 chip 查看详情。
高×大
中×中
低
影响小
影响中
影响大
致命
概率高
P0-F · CDN 缓存泄漏
P0-A · Logout 不撤销
P0-C · Supabase pause
P0-D · service_role
概率中
P0-E · 零监控
P0-G · 无备份
P0-B · JWT aud/iss
概率低
整改路线图 · 按 ROI 排序
从"个人玩具"到"商业级"的 30 步
明早 2 小时
7 项 · 2h→ 3.6 → 6+
本周
8 项 · 10h→ 7.5+
本月
8 项 · 10h + $45/月→ 商业级 8+
季度
7 项 · 持续长期维护
勾选状态本地保存 · 换设备不同步
4 维度子报告
逐项打开看完整 finding
01 / SECURITY
安全审计
认证 / 授权 / 注入 / XSS / 密钥 / 速率限制 / 日志审计 7 个面。RS256 + httpOnly + state + CORS 白名单 主链路设计正确,但 aud 校验绕过 + logout 不撤销 + callback 泄漏 ClientID 三个 P0 必须立刻修。
3 P07 P111 P2
02 / ARCHITECTURE
架构与代码质量
边界 / 错误 / 观测 / 性能 / 并发 / API / 质量 / 部署 8 个面。passthrough 一函数 7 责是典型"AI Pair 雪球",每加一个特性边际成本陡升。建议下次需求来前花 1-2 天做架构重构。
5 P010 P111 P2
03 / DATA
数据安全与持久层
Schema / RLS / 备份 / PII / 合规 / 容量。最弱维度。service_role 三处使用 + RLS 启用无策略 = 给业务"假性安全感"。free plan 无 PITR、无自动备份、无外部脚本。5,000 PV/天 10 个月爆库。
6 P07 P15 P2
04 / RELIABILITY
运维可靠性
部署 / SPOF / 监控 / 凭据 / 容量 / 文档 / CI/CD / 灾难 8 个面。能跑,回退脚本齐全,但监控全无、凭据永不过期、main 直推。最大风险不是修不好,是根本不知道挂了。
4 P07 P18 P2