امنیت
این بخش فقط لیست فایل نیست؛ کنترلهای امنیتی قابل مشاهده از روی dependencyها، routeها و فایلهای auth/permission/guard/secret تحلیل شدهاند. هرجا شواهد کافی نبوده، وضعیت نیازمند بررسی انسانی باقی مانده است.
کنترلهای امنیتی شناساییشده
| کنترل | وضعیت | توضیح | شاهد |
|---|---|---|---|
| Security Controls | نیازمند بررسی انسانی | فایل امنیتی صریح پیدا نشد؛ باید settings، middleware، route permissionها و deployment env بررسی شوند. | No direct security file |
جریان امنیتی درخواست
Mermaid sequence diagram - auth/authorization flow
sequenceDiagram autonumber participant U as کاربر participant UI as Frontend participant API as API Gateway/Controller participant Guard as Guard/Permission participant S as Service participant DB as Database U->>UI: ورود یا اجرای عملیات UI->>API: درخواست همراه token API->>Guard: بررسی auth و authorization Guard-->>API: اجازه یا رد دسترسی API->>S: اجرای منطق مجاز S->>DB: ذخیره/audit در صورت نیاز DB-->>UI: پاسخ کنترلشده
تحلیل ریسک و توصیهها
ریسکهای زیر از نوع قابلیتها و فایلهای امنیتی استخراج شدهاند و برای production باید با تست و تنظیمات runtime کامل شوند.
- برای هر endpoint حساس، policy دسترسی و تست 401/403 جداگانه ثبت شود.
- مقادیر env، token، password و connection string فقط با نام متغیر مستند شوند و مقدار واقعی نمایش داده نشود.
- رخدادهای login، تغییر permission، تغییر تنظیمات و عملیات destructive در audit log قابل ردیابی باشند.
منابع کد امنیتی
assets/js/auth.js