auth-security-auditlisted

# Auth Security Audit: 认证与权限专项审计 ## Overview 对 L2C 系统的认证流程和基于角色的访问控制 (RBAC) 进行专项验证。确保四角色体系运行正常，路由保护无漏洞，权限边界严格隔离。 **核心价值**：确保"该进的进得去，不该进的进不去，角色看到的都是自己该看的"。 > [!CAUTION] > **铁律：Next.js 16 路由代理文件命名为 `proxy.ts`，不再是 `middleware.ts`** > > | Next.js 版本 | 路由代理文件名 | 备注 | > | :----------------: | :-------------: | :---------------------------------- | > | 14 / 15 | `middleware.ts` | 旧约定 | > | **16（当前项目）** | **`proxy.ts`** | 官方更名，避免与 Express 中间件混淆 | > > 本项目 `src/proxy.ts` 完全符合 Next.js 16 的标准： > > - 文件名：`proxy.ts`（Next.js 16 官方标准） > - 位置：`src/` 根目录（与 `app/` 同级） > - 导出：`export default async function proxy(request: NextRequest)` > - 配置：`export const config = { matcher: [...] }` > > **审计时严禁将 `proxy.ts` 误判为未激活的 middleware，这是 Next.js 16 的正式约定。** ## When to Use - **发布门禁**：被 `version-release-protocol` Step 0 Gate 0.3 调用 - **认证重构后**：修改了 Auth.js / 中间件 / Session 逻辑后 - **角色变更后**：新增角色或修改权限配置后 - **安全事件后**：发现越权或认证漏洞后 ## 通过标准 (Pass/Fail Criteria) | 级别 | 条件 | 结果 | | :-----: | :--------------------------------------------- | :-----------------: | | 🚫 硬性 | 任何角色登录流程异常（无法获取 Session/Token） | **FAIL — 阻断发布** | | 🚫 硬性 | 路由保护失效或出现重定向死循环 | **FAIL — 阻断发布** | | 🚫 硬性 | 越权访问返回 500 而非 401/403 | **FAIL — 阻断发布** | | 🚫 硬性 | 未登录状态可直接访问受保护的 API 并获取数据 | **FAIL — 阻断发布** | | ⚠️ 软性 | 角色切换后页面闪烁或短暂显示错误内容 | 记录，不阻断 | | ⚠️ 软性 | Se