# Stability Status

## 当前结论

截至当前代码状态，系统整体稳定性判断为：

- 架构稳定性：中高
- 核心认证链路：中高
- 运行时回归保障：中高

这表示项目已经适合继续作为当前主线架构推进，关键链路已经具备稳定的自动化回归保护。

## 已稳定的部分

### 1. 认证主线已收敛

- 后台与业务账号都统一到显式 Token
- 请求级令牌识别已收敛到统一入口
- `Authorization` 与 Cookie 的优先级已经明确
- 旧 `api-token` 已从项目实现层移除

### 2. 登录态承载已切换

- 标准 Session 不再承载后台和 API 登录态
- Token Session 已切到 `sid + CacheSession`
- 注销、续期、过期判断已经围绕 `sid` 工作

### 3. 插件边界更清晰

- `ThinkLibrary` 负责运行时、认证协议、执行协议
- `System`、`Account`、`Wuma` 的认证场景已能区分
- 开发型命令已从 `ThinkLibrary` 迁出到 `Helper`

## 当前主要风险

### 1. 设备认证仍是独立分支

- `wuma` 仍使用独立设备 token
- 它没有复用通用账号 JWT 和 Token Session
- 这不是错误，但会增加长期维护成本

如果未来设备域扩张，这条分支会成为额外复杂度来源。

### 2. 浏览器 Cookie 回退依赖配置

- 跨域场景仍依赖 `setcookie`、CORS、`credentials` 配置
- 如果前后端部署策略变化，最先出问题的通常是 Cookie 回退链路

因此默认仍建议优先走 `Authorization`。

## 当前建议

### 优先级 P1

- 继续补齐剩余控制器和事件链的 SQLite 集成回归
- 把“认证成功 / 失效 / 续期 / Cookie 回退”继续保持在固定回归脚本内

### 优先级 P2

- 继续统一文档入口，避免 README 各写各的
- 继续收紧插件目录和描述边界，避免旧命名回流

### 优先级 P3

- 评估 `wuma` 是否继续保留独立设备认证
- 如果设备端会长期存在，再考虑抽成标准设备认证层

## 当前可接受判断

如果以“当前主线开发是否可继续”为标准，答案是可以。

如果以“是否已经具备强回归保障”为标准，答案是否。