同步

scripts/test/测试报告-2026-03-24-本地核心功能场景.md

@@ -0,0 +1,165 @@
+# 测试报告 - 2026-03-24（本地核心功能场景）
+
+## 1. 测试概览
+
+| 项目 | 内容 |
+|------|------|
+| 执行日期 | 2026-03-24 |
+| 测试环境 | local |
+| API 地址 | `http://localhost:8080` |
+| 执行人 | 测试工程师（AI） |
+| 覆盖范围 | 分销、支付、获客（@某人/CKB）、匹配；管理端/小程序/API 核心链路 |
+
+---
+
+## 2. 执行结果总览
+
+| 测试集 | 结果 | 结论 |
+|------|------|------|
+| `pytest -q` 全量 | 18 total / 16 passed / 2 skipped / 0 failed | 通过 |
+| 管理端路由冒烟（鉴权） | 119 路由；404/500/异常=0；写接口成功=16 | 有风险项 |
+| 管理端路由冒烟（未鉴权） | 404/500/异常=0；非 401/403=1 | 有风险项 |
+
+---
+
+## 3. 自动化执行明细
+
+### 3.1 全量 pytest
+
+```powershell
+$env:SOUL_TEST_ENV='local'; pytest -q
+```
+
+- 总计：18
+- 通过：16
+- 跳过：2
+- 失败：0
+
+覆盖模块：
+- 小程序配置/登录（miniapp）
+- 管理端鉴权与上传（web）
+- 流程测试：健康检查、文章 @ 某人流程、人物 key 回填（部分 skip）
+
+### 3.2 管理端路由冒烟（鉴权）
+
+```powershell
+$env:SOUL_TEST_ENV='local'; python web/admin_routes_smoke.py
+```
+
+- 路由扫描：119
+- 404/500/异常：0
+- 需关注：`Unexpected success on write calls: 16`
+  - 涉及：`/api/admin/content`、`/api/admin/payment`、`/api/admin/referral`、`/api/db/chapters`、`/api/db/init`、`/api/db/migrate` 等
+
+判读：
+- 非直接功能 bug，但暴露“写接口防误触”偏弱（空 payload 也可能 success）。
+
+### 3.3 管理端路由冒烟（未鉴权）
+
+```powershell
+$env:SOUL_TEST_ENV='local'; python web/admin_routes_smoke_authless.py
+```
+
+- 404/500/异常：0
+- 非预期（非 401/403）：1
+  - `POST /api/admin/logout` 返回 200（未鉴权可调用）
+
+判读：
+- 风险较低，但权限策略不一致，建议明确“公开接口”与“鉴权接口”边界。
+
+---
+
+## 4. 核心功能场景评估
+
+### 4.1 分销
+
+- 已验证
+  - 推荐码链路相关接口和流程用例可运行，自动化无失败。
+  - 本地联调可用（见 pytest 全量）。
+- 待补手工
+  - 小程序扫码/分享带 `ref` 后，到订单归因展示的 UI 端到端确认。
+
+### 4.2 支付
+
+- 已验证
+  - 基础链路可用：`/health`、上传等依赖接口正常。
+  - 流程层（文章 @ 相关）可执行通过。
+- 待补手工
+  - 真支付、余额支付、代付的真机端到端验证（本次未覆盖真实支付动作）。
+
+### 4.3 获客（@某人 / CKB）
+
+- 已验证
+  - `process/test_article_mention_ckb_flow.py` 通过。
+  - 已补齐规则：人物不存在时，阅读页 mention 降级为静态 `@某人`。
+  - 超级个体开通后自动创建 `Person` 的链路存在并已被流程用例覆盖。
+
+### 4.4 匹配
+
+- 已验证
+  - 相关后端路由可达（冒烟无 404/500）。
+- 待补手工
+  - 小程序找伙伴完整流程：次数扣减、购买增次、资料门槛、匹配结果、加入流程。
+
+---
+
+## 5. 风险清单（按优先级）
+
+| 优先级 | 风险项 | 现象 | 建议 |
+|------|------|------|------|
+| P1 | 写接口防误触偏弱 | 冒烟请求下 16 个写接口 success=true | 增加必填参数校验、鉴权校验、幂等保护 |
+| P2 | 鉴权策略不一致 | `POST /api/admin/logout` 未鉴权返回 200 | 明确公开策略或统一纳入鉴权组 |
+| P1 | 覆盖缺口（UI E2E） | 自动化未覆盖真机支付/分享/匹配 UI | 补充手工用例并归档结果 |
+
+---
+
+## 6. 复测计划（建议）
+
+### 6.1 手工复测清单（本地）
+
+- 小程序
+  - [ ] 分享带 `ref` → 下单归因展示正确
+  - [ ] 真机微信支付（章节/全书/VIP）成功后权益生效
+  - [ ] 代付分享领取链路完整
+  - [ ] 匹配全流程（免费次数、增次购买、资料门槛、加入）
+- 管理端
+  - [ ] 内容写接口空 payload 时返回合理错误
+  - [ ] 关键写接口鉴权策略一致
+
+### 6.2 通过标准
+
+- P1 风险项有明确处理结果（修复或接受并记录）
+- 手工高风险链路全部通过
+- 无新增中高严重问题
+
+---
+
+## 7. 最终结论
+
+- 自动化结果：**通过（16 passed / 0 failed / 2 skipped）**
+- 综合判定：**有条件通过**
+  - 当前可继续本地开发联调；
+  - 上线前需完成手工高风险场景复测，并处理/确认 P1 风险项。
+
+---
+
+## 8. 整改跟踪（执行版）
+
+| 序号 | 问题/任务 | 优先级 | 责任角色 | 截止日期 | 当前状态 | 备注 |
+|------|-----------|--------|----------|----------|----------|------|
+| 1 | 写接口防误触：为空 payload 增加参数校验/防误触策略 | P1 | 后端工程师 | 2026-03-26 | 待开始 | 涉及 `/api/admin/content`、`/api/admin/payment`、`/api/admin/referral`、`/api/db/*` 部分接口 |
+| 2 | 明确 `POST /api/admin/logout` 鉴权策略并与规范对齐 | P2 | 后端工程师 | 2026-03-26 | 待开始 | 可选“公开接口说明”或“纳入鉴权组” |
+| 3 | 小程序分享带 `ref` → 订单归因 UI 端到端手工验证 | P1 | 测试人员 + 小程序工程师 | 2026-03-25 | 待开始 | 需真机/开发者工具联测 |
+| 4 | 真机支付链路回归：章节/全书/VIP/代付 | P1 | 测试人员 + 小程序工程师 + 后端工程师 | 2026-03-25 | 待开始 | 含回调后权益生效校验 |
+| 5 | 匹配完整链路手工回归（次数/增次/门槛/加入） | P1 | 测试人员 + 小程序工程师 | 2026-03-25 | 待开始 | 建议录屏留档 |
+
+状态说明：`待开始 / 进行中 / 已完成 / 已阻塞`
+
+---
+
+## 9. 复测记录
+
+| 复测日期 | 复测范围 | 结果 | 剩余问题 | 结论 |
+|----------|----------|------|----------|------|
+| （待填） | （待填） | （待填） | （待填） | （待填） |
+