From bb32e9890c64732f831b5528995c85e74365531a Mon Sep 17 00:00:00 2001 From: gaozheng Date: Sun, 7 Jun 2026 19:19:15 +0800 Subject: [PATCH] =?UTF-8?q?docs:=20RSA=20=E5=85=AC=E9=92=A5=E9=9D=9E?= =?UTF-8?q?=E9=9D=99=E6=80=81=E5=AD=97=E9=9D=A2=E9=87=8F,=20=E6=94=B9?= =?UTF-8?q?=E4=B8=BA=20Phase=203=20=E8=BF=90=E8=A1=8C=E6=97=B6=E6=96=AD?= =?UTF-8?q?=E7=82=B9=E6=8F=90=E5=8F=96(=C2=A78.3)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md b/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md index 3026bb1..5eed75c 100644 --- a/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md +++ b/docs/superpowers/specs/2026-06-07-geopro-desktop-m1-design.md @@ -236,7 +236,7 @@ IDatasetRepository { 抓取的真实流程里**未见 refresh-token 实际使用,login2 只返不透明会话 token**。因此: -- **RSA 公钥常量**待精确提取(机制已定:JSEncrypt RSA-2048;公钥在某懒加载 login 分包,实现登录时现场提取即可)。 +- **RSA 公钥**待精确提取。机制已定:JSEncrypt **RSA-2048**(login2 密文 258 字节)。**公钥不是静态 JS 字面量**(已扫全部 40 个 chunk 无命中)→ 运行时从接口取或被混淆;Phase 3 实现登录时用 devtools 在登录动作设断点、抓 JSEncrypt 实例 `setPublicKey` 的实参即可(约 5 分钟)。 - **token 生命周期 / 是否有 refresh 机制**待确认。据此二选一设计: - (a) 有 refresh token → 标准静默刷新、401 静默续期。 - (b) 仅会话 token → 「免登录」= 持久化会话 token 至其有效期;**到期/401 引导用户重新登录(含验证码),不声称静默重登**。