設計目的:定義系統不論在任何狀態下都必須遵守的安全或結構底線。
The IdentityService SHALL 在將所有使用者密碼存入資料庫之前,使用 Argon2id 演算法進行加密。
設計目的:定義元件收到特定 API 請求、外部事件或訊息觸發時的標準反應。
WHEN 收到合法的用戶名與密碼組合時,IdentityService SHALL 生成 JWT 訪問權杖並回傳 200 OK 狀態。
設計目的:定義當系統、元件或目標對象處於特定模式/狀態期間的行為限制。
WHILE 使用者帳號處於 SUSPENDED (停用) 狀態時,IdentityService SHALL 拒絕該帳號的所有驗證嘗試。
設計目的:定義極端狀況(Edge Case)、錯誤處理或防範惡意攻擊的防禦性機制。
IF 使用者在 10 分鐘內連續驗證失敗 5 次,THEN IdentityService SHALL 將該帳號狀態變更為 LOCKED (鎖定) 15 分鐘。
設計目的:定義只有在特定客戶環境、軟硬體配置或授權功能啟用時才執行的邏輯。
WHERE 該帳號已啟用 MFA (多因素驗證) 的情況下,IdentityService SHALL 在簽發 JWT 訪問權杖之前,要求進入 OTP 驗證流程。