docs: RSA 公钥非静态字面量, 改为 Phase 3 运行时断点提取(§8.3)

2026-06-07 19:19:15 +08:00 · 2026-06-07 19:19:15 +08:00 · bb32e9890c
parent acbc6d5b46
commit bb32e9890c
1 changed files with 1 additions and 1 deletions
--- a/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md
+++ b/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md
@ -236,7 +236,7 @@ IDatasetRepository {

 抓取的真实流程里**未见 refresh-token 实际使用，login2 只返不透明会话 token**。因此：

- **RSA 公钥常量**待精确提取（机制已定：JSEncrypt RSA-2048；公钥在某懒加载 login 分包，实现登录时现场提取即可）。
+- **RSA 公钥**待精确提取。机制已定:JSEncrypt **RSA-2048**(login2 密文 258 字节)。**公钥不是静态 JS 字面量**(已扫全部 40 个 chunk 无命中)→ 运行时从接口取或被混淆;Phase 3 实现登录时用 devtools 在登录动作设断点、抓 JSEncrypt 实例 `setPublicKey` 的实参即可(约 5 分钟)。
 - **token 生命周期 / 是否有 refresh 机制**待确认。据此二选一设计：
  - (a) 有 refresh token → 标准静默刷新、401 静默续期。
  - (b) 仅会话 token → 「免登录」= 持久化会话 token 至其有效期；**到期/401 引导用户重新登录（含验证码），不声称静默重登**。