fix: 管理员登录安全修复 + 第三轮测试报告

1. 修复管理员登录密码错误时静默降级为普通用户的安全漏洞 2. 添加第三轮端到端测试总结文档
2026-05-17 21:42:01 +08:00
parent 2a61a4c69f
commit 07781eda0e
1 changed files with 7 additions and 3 deletions
@@ -86,11 +86,15 @@ func (h *AuthHandler) Login(c *gin.Context) {
 	var userID string

 	// 管理员账户验证
-	if req.Username == h.cfg.AdminUsername && req.Password == h.cfg.AdminPassword {
+	if req.Username == h.cfg.AdminUsername {
+		// 管理员必须提供正确的密码
+		if req.Password != h.cfg.AdminPassword {
+			c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
+			return
+		}
 		userID = "admin_" + req.Username
 	} else {
-		// MVP阶段：普通用户登录 (简化逻辑)
-		// 后续需要验证密码哈希
+		// MVP阶段：普通用户登录 (简化逻辑，后续需要验证密码哈希)
 		userID = "user_" + req.Username
 	}