## 实施计划

### 总览
- 涉及文件：5 个新建，3 个修改
- 预计步骤：12 步
- 关键依赖：Express router, bcrypt, PostgreSQL client

### 步骤详解

**Step 1: 创建数据库迁移文件**
- 文件：`migrations/001_create_users_table.sql`
- 操作：创建 users 表，包含 id, email, phone, password_hash, ...
- 依赖：无

**Step 2: 创建用户模型**
- 文件：`src/models/User.ts`
- 操作：定义 User 接口和数据库操作方法
- 依赖：Step 1

**Step 3: ...**

## Spec 合规性验证清单

### Spec: [Spec 标题]
### 验证日期: YYYY-MM-DD

| # | 验收标准 | 状态 | 备注 |
|---|---------|------|------|
| AC-1 | 用户可以使用邮箱注册 | ✅ 通过 | |
| AC-2 | 密码必须加密存储 | ✅ 通过 | 使用 bcrypt, cost=12 |
| AC-3 | 注册后发送验证邮件 | ❌ 未通过 | 邮件模板未实现 |
| AC-4 | 重复邮箱注册返回 409 | ✅ 通过 | |

---
# ===== YAML Frontmatter（元信息区）=====
title: "功能名称"
spec_id: "SPEC-2026-001"
version: "1.0"
status: "draft | in-review | approved | implemented | deprecated"
author: "作者姓名"
created: "2026-03-24"
updated: "2026-03-24"
tags: ["backend", "auth", "api"]
priority: "P0 | P1 | P2 | P3"
dependencies:
  - "SPEC-2026-000"
---

# [功能名称] Spec

## 1. 概述（Overview）
简要说明该功能是什么、为什么需要构建它。
- 1-3 段话
- 包含业务背景和动机

## 2. 目标与非目标（Goals & Non-Goals）

### 目标
- 本次要实现的功能和效果

### 非目标
- 明确不在本次范围内的事项（防止范围蔓延）

## 3. 详细设计（Detailed Design）

### 3.1 功能描述
详细的功能行为描述。

### 3.2 数据模型
数据结构、数据库表设计等。

### 3.3 API 设计（如适用）
接口定义、请求/响应格式。

### 3.4 流程图
关键流程的文字或图形描述。

## 4. 技术约束（Technical Constraints）
- 技术栈要求
- 性能指标
- 安全要求
- 兼容性要求

## 5. 错误处理（Error Handling）
各种异常场景的处理策略。

## 6. 验收标准（Acceptance Criteria）
用 Given-When-Then 格式编写。

## 7. 上下文引用（Context References）
- 关联文件路径
- 依赖的外部服务
- 参考的设计文档

## 8. 开放问题（Open Questions）
尚未确定的事项和待讨论的问题。

## 9. 变更记录（Changelog）
| 日期 | 版本 | 变更说明 | 作者 |
|------|------|---------|------|

**AC-1: 正常邮箱注册**
- Given: 用户提供有效的邮箱地址和符合规则的密码
- When: 用户提交注册请求
- Then:
  - 系统创建新用户记录
  - 密码使用 bcrypt（cost=12）加密存储
  - 返回 HTTP 201，响应体包含 { id, email, createdAt }
  - 异步发送验证邮件到用户邮箱

**AC-2: 重复邮箱注册**
- Given: 数据库中已存在 email = "user@example.com" 的用户
- When: 用户使用 "user@example.com" 提交注册
- Then:
  - 返回 HTTP 409 Conflict
  - 响应体包含 { error: "Email already registered" }
  - 不发送任何邮件

✅ 显式：
- 使用 PostgreSQL 15+ 作为数据库
- 使用 UUID v4 作为用户 ID
- 密码最少 8 个字符，必须包含大小写字母和数字
- 日期时间统一使用 ISO 8601 格式，UTC 时区

❌ 隐式（需要 AI 猜测）：
- 使用合适的数据库             （哪个数据库？）
- 使用合理的 ID 方案           （自增？UUID？哪个版本？）
- 密码需要有足够的复杂度       （什么叫"足够"？）
- 日期格式要统一               （统一到什么格式？）

## 上下文引用

### 技术栈
- 语言：TypeScript 5.x
- 运行时：Node.js 20 LTS
- 框架：Express 4.x
- 数据库：PostgreSQL 15
- ORM：Prisma 5.x

### 已有代码结构（关键引用）
- 路由定义：`src/routes/index.ts`（参照已有路由注册方式）
- 中间件：`src/middleware/auth.ts`（认证中间件）
- 错误处理：`src/utils/errors.ts`（统一错误处理类）
- 数据库连接：`src/db/prisma.ts`（Prisma client 实例）

### 编码约定
- 文件命名：kebab-case（如 `user-service.ts`）
- 导出方式：named export（非 default export）
- 错误处理：使用自定义 AppError 类抛出
- 日志：使用 winston logger

# 用户注册

实现一个用户注册功能。

需求：
- 用户可以注册
- 需要验证邮箱
- 密码要加密
- 有错误处理

技术：
- 用 Node.js 写

---
title: "用户邮箱注册"
spec_id: "SPEC-2026-012"
version: "1.2"
status: "approved"
author: "张三"
created: "2026-03-20"
updated: "2026-03-24"
tags: ["backend", "auth", "user", "api"]
priority: "P0"
dependencies: ["SPEC-2026-010"]  # 邮件服务 Spec
---

# 用户邮箱注册 Spec

## 1. 概述

实现用户通过邮箱地址注册账号的功能。这是用户增长漏斗的第一步，
直接影响新用户获取。本功能仅覆盖邮箱注册路径，手机号注册见 SPEC-2026-013。

## 2. 目标与非目标

### 目标
- 用户可以使用有效邮箱地址和密码创建账号
- 注册后发送邮箱验证链接
- 防止重复注册
- 密码安全存储

### 非目标
- 第三方 OAuth 登录（见 SPEC-2026-015）
- 手机号注册（见 SPEC-2026-013）
- 用户个人资料填写（注册后独立流程）
- 邮箱验证链接的点击处理（见 SPEC-2026-014）

## 3. 详细设计

### 3.1 API 端点

**POST /api/v1/auth/register**

请求体：
```json
{
  "email": "user@example.com",
  "password": "SecurePass123",
  "name": "张三"
}

---
title: "[重构名称]"
spec_id: "SPEC-YYYY-NNN"
version: "1.0"
status: "draft"
author: ""
created: "YYYY-MM-DD"
tags: ["refactor"]
priority: ""
---

# [重构名称] Spec

## 1. 概述
### 当前问题
[描述现有代码/架构的问题]

### 重构目标
[描述重构后期望达到的效果]

## 2. 影响范围
### 需要修改的文件
- `path/to/file1.ts` — [修改内容]
- `path/to/file2.ts` — [修改内容]

### 不应修改的文件
- `path/to/stable.ts` — [保持不变的原因]

## 3. 重构方案
### 3.1 Before（当前状态）

<!-- specs/INDEX.md -->
# Spec 索引

## 活跃 Spec

| Spec ID | 标题 | 级别 | 状态 | 优先级 | 负责人 | 链接 |
|---------|------|------|------|--------|--------|------|
| SPEC-001 | 认证系统架构 | L1 | approved | P0 | 张三 | [链接](system/auth-system.md) |
| SPEC-002 | 用户邮箱注册 | L2 | in-progress | P0 | 张三 | [链接](modules/user-registration.md) |
| SPEC-003 | Token 管理 | L2 | draft | P1 | 李四 | [链接](modules/jwt-management.md) |

## 已完成 Spec
| Spec ID | 标题 | 完成日期 | 链接 |
|---------|------|---------|------|

<!-- .github/copilot-instructions.md -->
## Spec 开发模式

本项目使用 Spec 驱动开发。在编写或修改代码时：

1. 首先检查 `specs/` 目录下是否存在对应的 Spec 文件
2. 严格按照 Spec 中的定义实现
3. 不要添加 Spec 中未定义的功能
4. 遵循 Spec 中指定的技术约束和编码约定
5. 实现完成后，对照验收标准逐一验证

---
title: "待办事项 CRUD API"
spec_id: "SPEC-2026-001"
version: "1.0"
status: "draft"
author: "你的名字"
created: "2026-03-24"
tags: ["backend", "api", "todo"]
priority: "P0"
---

# 待办事项 CRUD API Spec

## 1. 概述
实现待办事项的增删改查 RESTful API。

## 2. 目标与非目标
### 目标
- 创建、读取、更新、删除待办事项
- 支持按状态筛选
- 支持分页

### 非目标
- 用户认证（本期不做）
- 标签系统
- 协作功能

## 3. 详细设计
[待填充]

## 4. 技术约束
[待填充]

## 5. 错误处理
[待填充]

## 6. 验收标准
[待填充]

## 3. 详细设计

### 3.1 API 端点

| 方法 | 路径 | 描述 |
|------|------|------|
| POST | /api/v1/todos | 创建待办事项 |
| GET | /api/v1/todos | 获取待办事项列表（支持筛选和分页） |
| GET | /api/v1/todos/:id | 获取单个待办事项 |
| PUT | /api/v1/todos/:id | 更新待办事项 |
| DELETE | /api/v1/todos/:id | 删除待办事项 |

### 3.2 数据模型

```sql
CREATE TABLE todos (
  id          UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  title       VARCHAR(200) NOT NULL,
  description TEXT,
  status      VARCHAR(20) NOT NULL DEFAULT 'pending'
              CHECK (status IN ('pending', 'in_progress', 'completed')),
  due_date    DATE,
  created_at  TIMESTAMPTZ DEFAULT NOW(),
  updated_at  TIMESTAMPTZ DEFAULT NOW()
);

Prompt 模板：

请阅读以下 Spec 文件，为我生成实施计划（Plan）。

要求：
1. 列出需要创建/修改的所有文件
2. 每个文件需要实现的具体内容
3. 文件之间的依赖顺序
4. 预估每个步骤的复杂度（高/中/低）

Spec 文件内容：
[粘贴或引用 Spec 文件]

项目当前结构：
[提供关键的目录结构信息]

## Plan 审查清单

- [ ] 所有 Spec 中定义的端点都已覆盖
- [ ] 文件命名符合项目约定
- [ ] 没有引入 Spec 中未要求的依赖
- [ ] 实现顺序合理（先模型 → 再服务 → 最后路由）
- [ ] 包含了错误处理和参数验证
- [ ] 测试文件包含在 Plan 中

Prompt 模板（逐步执行）：

请按照 Plan 的 Step [N] 执行：
[Plan 中 Step N 的内容]

请确保：
1. 严格遵循 Spec 中的定义
2. 保持与已有代码风格一致
3. 包含必要的错误处理

Prompt 模板（验证）：

请对照以下验收标准，检查当前代码是否全部满足：

[列出相关的验收标准]

对于每一条标准，请说明：
1. 是否满足（✅/❌）
2. 满足的具体代码位置
3. 如果未满足，需要如何修改

流程：
1. 识别未通过的验收标准
2. 分析原因（代码 Bug？还是 Spec 遗漏？）
3. 如果是代码 Bug → 直接修复代码
4. 如果是 Spec 遗漏 → 先更新 Spec，再修复代码
5. 重新验证

流程：
1. 暂停代码实现
2. 记录发现的问题到 Spec 的"开放问题"中
3. 评估问题的影响范围
4. 如果是小问题 → 直接修正 Spec 并继续
5. 如果是大问题 → 与团队讨论后再修正
6. 更新 Spec 版本号和变更记录
7. 重新生成受影响步骤的 Plan

流程：
1. 在 Spec 中标注变更的部分
2. 评估变更对已实现代码的影响
3. 更新 Spec 的"目标与非目标"部分
4. 更新受影响的验收标准
5. 更新 Spec 版本号（如 1.0 → 1.1）
6. 重新生成 Plan 中受影响的步骤
7. 实现变更
8. 重新验证所有验收标准（包括未变更的部分）

<!-- .github/copilot-instructions.md -->
## 全局编码约定
- 使用 TypeScript strict mode
- 文件命名：kebab-case
- 错误使用 AppError 类
- 日志使用 winston
- ...

✅ 好的做法：
上下文引用：
- 错误处理方式参照 `src/utils/errors.ts` 中的 AppError 类
- 路由注册方式参照 `src/routes/auth.ts` 第 15-30 行

❌ 差的做法：
上下文引用：
[在这里粘贴了 errors.ts 的全部 200 行代码]
[在这里粘贴了 auth.ts 的全部 150 行代码]

<!-- specs/CONTEXT.md -->
# 项目上下文摘要

## 架构概览
- 单体应用，Express + TypeScript
- 三层架构：Controller → Service → Repository
- PostgreSQL + Prisma ORM

## 关键文件索引
| 用途 | 文件 | 说明 |
|------|------|------|
| 路由入口 | src/routes/index.ts | 所有路由在此注册 |
| 数据库连接 | src/db/prisma.ts | Prisma client 单例 |
| 错误基类 | src/utils/errors.ts | AppError 定义 |
| 认证中间件 | src/middleware/auth.ts | JWT 验证 |

## 数据库表概览
| 表名 | 关键字段 | 说明 |
|------|---------|------|
| users | id, email, password_hash | 用户表 |
| todos | id, title, status, user_id | 待办事项表 |

每 3-5 步执行一次：

Prompt:
"请总结一下到目前为止已完成的工作：
1. 已创建/修改了哪些文件
2. 已实现了哪些功能
3. 接下来还需要完成什么
4. 当前代码与 Spec 的一致性状态"

## Spec Review Checklist

### 完整性
- [ ] 包含完整的元信息（title, id, version, status, author）
- [ ] "目标与非目标"清晰明确
- [ ] 详细设计覆盖了所有功能点
- [ ] 错误处理场景完整（包括网络错误、并发、权限等）
- [ ] 验收标准覆盖正常路径和异常路径
- [ ] 上下文引用充分

### 准确性
- [ ] 技术约束与项目实际一致
- [ ] 数据模型设计合理
- [ ] API 设计符合 RESTful 规范（如适用）
- [ ] 没有与已有功能的冲突

### 可实现性
- [ ] 粒度适当（1-3 天工作量）
- [ ] 依赖关系明确且已满足
- [ ] 技术方案可行
- [ ] 没有过度设计

### 可验证性
- [ ] 每条验收标准都是 SMART 的
- [ ] Given-When-Then 格式清晰
- [ ] 可以编写自动化测试来验证

---
title: "在线课程平台系统架构"
spec_id: "SPEC-2026-001"
status: "approved"
---

# 系统架构 Spec

## 技术栈决策

| 层面 | 技术选型 | 选择原因 |
|------|---------|---------|
| 前端 | Next.js 14 (App Router) | SSR 支持、SEO 友好、团队熟悉 |
| 后端 | Node.js + NestJS | TypeScript 全栈统一、装饰器风格 |
| 数据库 | PostgreSQL 15 | 复杂查询支持好、成熟稳定 |
| 缓存 | Redis 7 | 会话管理、热点数据缓存 |
| 存储 | 对象存储（S3 兼容） | 视频和图片的存储 |
| 部署 | Docker + K8s | 团队已有经验 |

## 架构模式

采用分层单体架构（Modular Monolith）:

## 全局编码约定
（此部分同时写入 .github/copilot-instructions.md）

- 文件命名：kebab-case
- 类命名：PascalCase
- 函数/方法：camelCase
- 每个模块包含：controller, service, repository, dto, entity
- 错误处理：使用 NestJS 内置 HttpException 体系
- 日志：使用 NestJS Logger

---
title: "[As-Is] 订单列表查询"
spec_id: "SPEC-LEGACY-001"
status: "approved"
tags: ["legacy", "as-is", "orders"]
---

# [As-Is] 订单列表查询

## 1. 当前行为描述

### API 端点
GET /admin/orders （注意：未遵循 RESTful 规范，不带 api 版本号）

### 实际行为
1. 支持分页，但分页参数命名为 `p`（page）和 `s`（size）
2. 返回格式不统一，有时嵌套在 `data.list` 中，有时直接在 `data` 中
3. **已知 Bug**：当 status 参数为空字符串时返回全部数据（而非按"全部状态"筛选）
4. **性能问题**：未使用索引分页，大数据量时超过 5 秒

### 数据库查询
- 使用原始 SQL 拼接（存在 SQL 注入风险）
- 无分页优化（使用 OFFSET）

## 2. 依赖方
- 前端管理面板（admin-panel repo）
- 数据导出脚本（scripts/export-orders.py）
- 第三方物流对接服务

## 与 As-Is 的差异对照

| 方面 | As-Is（现状） | To-Be（目标） | 迁移策略 |
|------|-------------|-------------|---------|
| API 路径 | /admin/orders | /api/v2/admin/orders | 新旧并存，灰度切换 |
| 分页参数 | p, s | page, pageSize | 兼容旧参数 3 个月 |
| 返回格式 | 不一致 | 统一 { data, pagination } | 新 API 统一格式 |
| SQL 注入 | 存在风险 | 使用参数化查询 | 立即修复 |
| 分页性能 | OFFSET | Cursor-based | To-Be 实现 |

## API Spec 核心要素清单

### 1. 端点定义
- HTTP 方法 + 路径
- 路径参数和查询参数
- 请求头要求（Authorization, Content-Type 等）

### 2. 请求/响应契约
- 请求体 JSON Schema（字段、类型、必填/可选、验证规则）
- 成功响应格式和状态码
- 所有可能的错误响应

### 3. 认证与授权
- 哪些端点需要认证？
- 需要什么权限/角色？

### 4. 限流策略
- 请求频率限制
- 响应头中的限流信息

### 5. 版本策略
- URL 版本号（/api/v1/）
- 向后兼容规则

## 前端 Spec 核心要素清单

### 1. 页面/组件结构
- 组件树和层次关系
- 可复用组件 vs 页面专用组件

### 2. 状态管理
- 全局状态 vs 局部状态
- 数据流向
- 缓存策略

### 3. 交互行为
- 用户操作 → 系统响应 的完整映射
- 动画/过渡效果
- 键盘快捷键

### 4. 响应式设计
- 断点定义
- 不同屏幕尺寸下的布局差异

### 5. 异步状态处理
- 加载中状态（Loading）
- 空状态（Empty State）
- 错误状态（Error State）
- 乐观更新策略（Optimistic Update）

## 3. 详细设计

### 3.1 页面结构

---
title: "[Bug] 特定条件下支付失败"
spec_id: "SPEC-BUG-2026-042"
status: "approved"
author: "值班开发"
created: "2026-03-24"
tags: ["bug", "payment", "production", "P0"]
---

# [Bug] 特定条件下支付失败

## 1. Bug 描述

### 复现条件
- 用户余额恰好等于商品价格（分文不差）
- 使用优惠券后实际支付金额为 0
- 用户点击"确认支付"

### 预期行为
- 支付成功，订单状态变为 "paid"
- 扣减优惠券使用次数

### 实际行为
- 页面卡在"处理中"状态 30 秒后超时
- 订单状态仍为 "pending"
- 优惠券已被标记为已使用（数据不一致）

### 影响范围
- 影响所有 100% 折扣的优惠券场景
- 过去 7 天有 23 个工单报告此问题

## 2. 根因分析

### 初步排查结果
- 当支付金额为 0 时，支付网关返回错误："amount must be greater than 0"
- 代码中未处理 0 金额的特殊情况
- 优惠券扣减在支付网关调用之前执行（事务不一致）

### 问题代码位置
- `src/services/payment.ts` 第 87-102 行
- `src/services/coupon.ts` 第 45 行

## 3. 修复方案

### 修复点 1: 0 金额支付逻辑
- 当实际支付金额为 0 时，跳过支付网关调用
- 直接将订单标记为 "paid"
- 记录支付方式为 "coupon_full_discount"

### 修复点 2: 事务一致性
- 将优惠券扣减和订单状态更新包装在数据库事务中
- 如果任何一步失败，整体回滚

### 不应修改
- 支付网关调用逻辑（非 0 金额场景保持不变）
- 前端支付流程

## 4. 验收标准

**AC-1: 0 金额支付成功**
- Given: 用户使用 100% 折扣优惠券，实际支付 0 元
- When: 点击"确认支付"
- Then: 支付成功，订单状态为 "paid"，支付方式为 "coupon_full_discount"

**AC-2: 事务一致性**
- Given: 优惠券扣减后发生错误
- When: 事务中的后续步骤失败
- Then: 优惠券使用记录回滚，保持可用状态

**AC-3: 回归验证**
- Given: 正常的非 0 金额支付
- When: 完成支付流程
- Then: 行为不变，支付网关正常调用

**AC-4: 历史数据修复**
- Given: 过去 7 天因此 Bug 导致的不一致数据
- When: 运行数据修复脚本
- Then: 23 个受影响订单的状态和优惠券数据恢复一致

## 5. 测试要求
- 单元测试：覆盖 0 金额分支
- 集成测试：模拟完整支付流程（0 金额 + 正常金额）
- 回归测试：确保现有支付测试全部通过