232 lines
10 KiB
Markdown
232 lines
10 KiB
Markdown
# vr-shopxo-plugin 架构决策评议 — plan.md
|
||
|
||
> 版本:v1.2(最终合并版)| 日期:2026-04-15 | Agent:council/FrontendDev + BackendArchitect + SecurityEngineer
|
||
> 关联:Issue #9 | 状态:FINAL
|
||
|
||
---
|
||
|
||
## 任务背景
|
||
|
||
Phase 0/1/2 已完成基础骨架,暴露了一个 P0 架构问题:VR 演唱会票务商品中 ShopXO SPEC 与 SKU 的绑定方案。
|
||
|
||
**已知事实:**
|
||
- ShopXO `goods_spec_base`(SKU表)当前为空,商品 112 的 `is_exist_many_spec=0`
|
||
- `spec_base_id_map` 中的 ID(如 1001/1002/1003)在 DB 中不存在
|
||
- ShopXO 防超卖机制(原子扣 inventory)完全未启用
|
||
|
||
**两种架构方向:**
|
||
- **方案 A**:每个座位 = 一个 SKU(stock=1),ShopXO 原生防超卖
|
||
- **方案 B**:每个 Zone = 一个 SKU(stock=Zone座位数),自建 FOR UPDATE 防超卖
|
||
|
||
---
|
||
|
||
## 核心问题(4问)
|
||
|
||
| # | 问题 | 负责 |
|
||
|---|------|------|
|
||
| Q1 | 方案 A 后台批量生成 SKU 路径是否可行?ShopXO 是否有批量 API? | BackendArchitect |
|
||
| Q2 | 当前商品 112 的 broken 状态(is_exist_many_spec=0 + spec_base 空)是否需要紧急修复?最小修复集? | BackendArchitect |
|
||
| Q3 | $vr- 前缀方案是否有隐患?ShopXO 内部是否对 $ 有特殊处理? | SecurityEngineer + FrontendDev |
|
||
| Q4 | 方案 A vs 方案 B 最终推荐(实现成本 / 安全性 / 可维护性) | 所有成员 |
|
||
|
||
---
|
||
|
||
## 阶段划分
|
||
|
||
| 阶段 | 内容 | 负责 |
|
||
|------|------|------|
|
||
| Round 1 | 独立评议 + plan.md 合并 | 所有成员 |
|
||
| Round 2 | 各成员深入分析(后台实现路径、安全评估、前端方案) | 所有成员 |
|
||
| Round 3 | 综合推荐 + 输出最终决策报告 + `council-output/ARCHITECTURE_DECISION.md` | FrontendDev 主笔 |
|
||
|
||
---
|
||
|
||
## 任务清单
|
||
|
||
- [x] **Q1**: 方案 A 批量生成 SKU 路径 `[Done: BackendArchitect]` ✅
|
||
- [x] **Q2**: 商品 112 broken 状态紧急修复 `[Done: BackendArchitect]` ✅
|
||
- [x] **Q3**: $vr- 前缀安全评估 `[Done: SecurityEngineer + FrontendDev]` ✅
|
||
- [x] **Q4**: 方案 A vs 方案 B 最终推荐 `[Done: 所有成员]` ✅ — 三方一致推荐方案 A
|
||
- [x] **Final**: `council-output/ARCHITECTURE_DECISION.md` `[Done: FrontendDev]` ✅
|
||
|
||
---
|
||
|
||
## Claim 状态
|
||
|
||
| 任务 | Claim 状态 |
|
||
|------|-----------|
|
||
| Q1 | [Done: BackendArchitect] |
|
||
| Q2 | [Done: BackendArchitect] |
|
||
| Q3 | [Done: SecurityEngineer] + [Done: FrontendDev] |
|
||
| Q4 | [Done: BackendArchitect] + [Done: FrontendDev] + [Done: SecurityEngineer] |
|
||
| 最终输出 | [Done: FrontendDev] |
|
||
|
||
---
|
||
|
||
## 依赖关系
|
||
|
||
- Q1(BackendArchitect)先完成,后 Q4 才能给出完整推荐
|
||
- Q3(SecurityEngineer)可与 Q1 并行
|
||
- Q2 可独立完成,紧急程度由 BackendArchitect 判定
|
||
- 三方分析完成后,FrontendDev 主笔 Round 3 最终报告
|
||
|
||
---
|
||
|
||
## 各成员 Round 1 初判
|
||
|
||
### BackendArchitect 初判
|
||
|
||
**Q1 初步判断**:Plan A 后台批量生成 SKU **可行**。ShopXO 的 `goods_spec_base` 是标准 MySQL 表,插件可直接 INSERT。
|
||
|
||
**Q2 初步判断**:当前 broken 状态**暂不需要立即修复**。购买流程走的是裸商品逻辑(is_exist_many_spec=0),需要明确购买流程最终走哪条路后再修。
|
||
|
||
**Q4 初步判断**:倾向 **方案 A**。ShopXO 原生防超卖机制比自建锁更可靠(DB 层面原子操作)。
|
||
|
||
### FrontendDev 初判(Q1-Q4 分析)
|
||
|
||
**Q1**:结论:**可行,但实现路径复杂。** 无现成批量 API,需要插件自管(Hook 隐藏)。SKU 数量 = 座位数(10000+)。
|
||
**Q2**:结论:**需要立即修复,推荐最小方案。**
|
||
**Q3**:结论:**低风险,但需实测确认。**
|
||
**Q4 推荐**:**方案 A(每个座位一个 SPEC/SKU)**。安全性+数据一致性优先。
|
||
|
||
### SecurityEngineer 初判(Q2/Q3/Q4)
|
||
|
||
**Q2**:依赖 Q1/Q4,标记为 blocked。
|
||
**Q3**:ThinkPHP View 层可能对 `$` 有变量插值行为,需要代码验证(Round 2 执行)。
|
||
**Q4**:初步倾向 **方案 A**。
|
||
|
||
---
|
||
|
||
## 各成员 Round 2 深入分析
|
||
|
||
### BackendArchitect Round 2 深入分析(Q1+Q2)
|
||
|
||
详细分析见 `docs/ROUND2_ANALYSIS.md`。
|
||
|
||
**Q1 结论:可行,但必须旁路 `GoodsSpecificationsInsert()`**
|
||
|
||
- `GoodsSpecificationsInsert()` 每次商品保存时 DELETE 所有现有 spec 后重建,10K+ 座位场景不可用
|
||
- 可行路径:**直接 SQL INSERT** 到 `sxo_goods_spec_type`、`sxo_goods_spec_base`、`sxo_goods_spec_value` 三表
|
||
- 关键代码:`BuyService.php:1677-1681` 的 `dec()` 机制 = MySQL 条件原子扣减 `UPDATE SET inventory = inventory - N WHERE inventory >= N`
|
||
- TOCTOU 窗口极小(选座模式并发低 + InnoDB 行锁),**推荐接受此风险**
|
||
- 性能:10000 座位 ≈ 3-4 秒(需分批 500 条/批提交)
|
||
|
||
**Q2 结论:推荐方案乙(最小修复集)**
|
||
|
||
- `UPDATE goods SET is_exist_many_spec=1 WHERE id=112`
|
||
- 写入 `$vr-` 规格维度到 `sxo_goods_spec_type`
|
||
- 幂等保护:票生成逻辑已有 `spec_base_id` 冗余
|
||
|
||
**Q4 初步推荐:方案 A**
|
||
|
||
- 原子性已验证(BuyService dec 机制)
|
||
- 数据完整性高(每个座位 inventory=1)
|
||
- 票务链路清晰(spec_base_id → 座位直接映射)
|
||
|
||
### SecurityEngineer Round 2 分析(Q3)
|
||
|
||
SecurityEngineer 在 Round 2 进行了 ThinkPHP View 层的 $vr- 前缀安全审计,结论:**无高危风险**。
|
||
|
||
### FrontendDev Round 2 深入分析(Q3+Q4)
|
||
|
||
**Q3 结论:$vr- 前缀安全** ✅
|
||
- ThinkPHP `{$var}` 默认做 HTML 转义,$vr- 不会被解析为 PHP 变量
|
||
- `|raw` 仅跳过 HTML 转义,不会执行变量插值
|
||
- ThinkPHP parseVar 正则对连字符 `-` 的处理会阻断 $vr- 的完整解析
|
||
- ShopXO spec name 存 DB 无过滤,但渲染层安全
|
||
|
||
**Q4 最终推荐:方案 A(每个座位一个 SPEC/SKU)—— 明确推荐**
|
||
|
||
**核心发现**:
|
||
1. 当前 `ticket_detail.html` submit() 是 Plan B 模式,`specBaseIdMap` 已声明但**未接入** submit 逻辑
|
||
2. ShopXO 购买流程从 `spec_base` 表读取库存并原子扣减
|
||
|
||
**方案 A vs B 最终对比**:
|
||
|
||
| 维度 | 方案 A(每座=SKU) | 方案 B(每 Zone=SKU) |
|
||
|------|-------------------|---------------------|
|
||
| **防超卖** | ShopXO 原生原子扣库存(stock=1),DB 层保证 | 自建 FOR UPDATE 锁,需自己写并发逻辑 |
|
||
| **实现复杂度** | 后端需批量生成 1 万+ SKU;前端 `submit()` 需改为逐座提交 | 后端简单;前端按 Zone 分组即可 |
|
||
| **多 Zone 混买** | 每座一行 goods_params,后端原子处理 | 前端分组但后端共享 Zone 库存,复杂度高 |
|
||
| **后台可维护性** | 10000+ SKU 行,但可 Hook 隐藏 | Zone 数量少,后台友好 |
|
||
| **调试/故障排查** | 每个 SKU 独立,可追溯 | 共享库存,出问题难以定位 |
|
||
| **与 ShopXO 生态** | 完全对齐,无缝集成 | 绕过 spec 校验,部分 ShopXO 功能失效 |
|
||
|
||
**Plan A 前端实现路径**:
|
||
|
||
关键修改:将 `submit()` 从"session-level 提交"改为"seat-level 逐座提交":
|
||
|
||
```javascript
|
||
// Plan A: 每座一行 goods_params,逐座购买
|
||
this.selectedSeats.forEach(function(seat) {
|
||
var seatSpecBaseId = app.specBaseIdMap[seat.row + '_' + seat.col]?.spec_base_id;
|
||
// 如果 spec_base_id 存在,走 ShopXO 原生购买
|
||
// 否则走 Plan B 回退逻辑
|
||
});
|
||
```
|
||
|
||
`specBaseIdMap` 数据结构已就位(从后端 PHP 注入),前端只需接入即可。
|
||
|
||
---
|
||
|
||
## 各成员 Round 3 最终推荐
|
||
|
||
### BackendArchitect Round 3 最终推荐(Q1+Q2+Q4)
|
||
|
||
**Q1 最终结论**:可行。必须旁路 `GoodsSpecificationsInsert()`,走**直接 SQL INSERT** 路径。性能:10000 座位 ≈ 3-4 秒(分批 500 条/批)。关键:`spec_base_id_map[seat_id] → actual_db_id` 映射必须在 INSERT 后即时重建。
|
||
|
||
**Q2 最终结论**:推荐**方案乙**(最小修复集):
|
||
1. `UPDATE sxo_goods SET is_exist_many_spec=1 WHERE id=112`
|
||
2. `INSERT $vr- spec_type`(场馆/分区/时段三行)
|
||
3. 幂等保护:`TicketService::issueTicket()` 中对 `spec_base_id=0` 做 fallback
|
||
|
||
**Q3 最终结论**(汇入 SecurityEngineer + FrontendDev 确认):低风险。ThinkPHP `{$var}` 默认 HTML 转义,`$vr-` 不会触发变量解析。
|
||
|
||
**Q4 最终推荐:方案 A**,理由汇总:
|
||
1. **ShopXO 原生原子防超卖**:`BuyService::dec()` = MySQL 条件原子扣减,无需自建锁
|
||
2. **TOCTOU 风险可接受**:选座模式并发窗口极小,InnoDB 行锁提供最后保护
|
||
3. **票务链路清晰**:`spec_base_id` 直接映射座位,票生成无需反向解析
|
||
4. **方案 B 优势不成立**:插件自管 SKU(Hook 隐藏),不走 ShopXO 后台,无"管理困难"问题
|
||
|
||
### FrontendDev Round 3 最终推荐(Q3+Q4)
|
||
|
||
三方一致推荐 **方案 A(每个座位一个 ShopXO SKU)**。
|
||
|
||
最终决策报告:`council-output/ARCHITECTURE_DECISION.md`
|
||
|
||
---
|
||
|
||
## 行动项(优先级排序)
|
||
|
||
| 优先级 | 行动项 | 负责 |
|
||
|--------|--------|------|
|
||
| P0 | 创建 `SeatSkuService::BatchGenerate()` — 直接 SQL INSERT 批量生成 SKU(分批 500 条) | BackendArchitect |
|
||
| P0 | 执行 Q2 最小修复集:`UPDATE is_exist_many_spec=1` + `INSERT $vr- spec_type` | BackendArchitect |
|
||
| P1 | `TicketService::issueTicket()` 添加 `spec_base_id=0` 幂等保护 | BackendArchitect |
|
||
| P1 | 重构 `ticket_detail.html` submit():接入 `specBaseIdMap`,改为 seat-level 逐座提交 | FrontendDev |
|
||
| P2 | 实现 `loadSoldSeats()`:查询各 seat spec_base 的库存状态 | FrontendDev |
|
||
| P2 | Hook 隐藏插件专用 SKU(隔离 ShopXO 原生规格管理页) | FrontendDev |
|
||
| P3 | 设计插件独立 SKU 管理页面 | FrontendDev |
|
||
|
||
---
|
||
|
||
## 共识投票
|
||
|
||
| 成员 | CONSENSUS |
|
||
|------|-----------|
|
||
| BackendArchitect | `[CONSENSUS: YES]` — 推荐方案 A,Round 2/3 分析完成 |
|
||
| SecurityEngineer | `[CONSENSUS: YES]` — $vr- 前缀低风险,方案 A 推荐 |
|
||
| FrontendDev | `[CONSENSUS: YES]` — 方案 A 推荐,前端配合方案清晰 |
|
||
|
||
**全票通过:采纳方案 A**
|
||
|
||
---
|
||
|
||
## Round 3 安全审计结果(保留,仅供参考)
|
||
|
||
### Task S1 — Admin 鉴权覆盖完整性审查 ✅ 验证通过
|
||
### Task S2 — SQL 注入风险审计 ✅ 无注入风险
|
||
### Task S3 — XSS / CSRF 防护检查 ✅ 通过
|
||
### Task S5 — IDOR 水平越权检查 ✅ 通过
|
||
### Task S4 — 敏感操作审计日志设计 ✅ 设计完成
|