fix: 修复知识图谱模块 P0/P1/P2/P3 问题

【P0 - 安全风险修复】 - InternalTokenInterceptor: fail-open → fail-closed - 未配置 token 时直接拒绝（401） - 仅 dev/test 环境可显式跳过校验 - KnowledgeGraphProperties: 新增 skipTokenCheck 配置项 - application-knowledgegraph.yml: 新增 skip-token-check 配置【P1 - 文档版本控制】 - .gitignore: 移除 docs/knowledge-graph/ 忽略规则 - schema 文档现已纳入版本控制【P2 - 代码质量改进】 - InternalTokenInterceptor: 错误响应改为 Response.error() 格式 - 新增 InternalTokenInterceptorTest.java（7 个测试用例） - fail-closed 行为验证 - token 校验逻辑验证 - 错误响应格式验证【P3 - 文档一致性】 - README.md: 相对链接改为显式 GitHub 链接【验证结果】 - 编译通过 - 198 个测试全部通过（0 failures）
2026-02-19 13:03:42 +08:00
parent f12e4abd83
commit 444f8cd015
11 changed files with 293 additions and 17 deletions
--- a/backend/services/main-application/src/main/java/com/datamate/main/config/SecurityConfig.java
+++ b/backend/services/main-application/src/main/java/com/datamate/main/config/SecurityConfig.java
@@ -7,8 +7,14 @@ import org.springframework.security.config.annotation.web.configuration.EnableWe
 import org.springframework.security.web.SecurityFilterChain;

 /**
- * 安全配置 - 暂时禁用所有认证
- * 开发阶段使用，生产环境需要启用认证
+ * Spring Security 配置。
+ * <p>
+ * 安全架构采用双层防护：
+ * <ul>
+ *   <li><b>Gateway 层</b>：API Gateway 负责 JWT 校验，通过后透传 X-User-* headers 到后端服务</li>
+ *   <li><b>服务层</b>：内部 sync 端点通过 {@code InternalTokenInterceptor} 校验 X-Internal-Token</li>
+ * </ul>
+ * 当前 SecurityFilterChain 配置为 permitAll，HTTP 级别的访问控制由 Gateway 和业务拦截器共同完成。
 */
@Configuration
@EnableWebSecurity
--- a/backend/services/main-application/src/main/resources/application.yml
+++ b/backend/services/main-application/src/main/resources/application.yml
@@ -3,12 +3,6 @@ spring:
  application:
    name: datamate

-  # 暂时排除Spring Security自动配置（开发阶段使用）
-  autoconfigure:
-    exclude:
-      - org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
-      - org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration
-
  # 数据源配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver