admin/meijiaka-zy
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
620 Commits 2 Branches 14 Tags
c6a40331d4a7cc9da587dc4b815665b703d3d1a3
Commit Graph

13 Commits

Author SHA1 Message Date
小鱼开发 c6a40331d4 chore(release): bump version to 1.9.1 and apply pending changes 2026-06-16 15:17:30 +08:00
小鱼开发 923ff63a3d feat: 密码登录功能(验证码/密码双模式 + 忘记密码 + 设置密码) 
后端:
- security.py: 新增 bcrypt 密码哈希/校验工具
- auth_service.py: 新增 login_with_password、reset_password_with_sms
- auth.py: 新增 /login-password、/has-password、/set-password、/reset-password 接口
- schemas/auth.py: 新增 PasswordLoginRequest、SetPasswordRequest、ResetPasswordRequest、CheckPasswordResponse
- crud/user.py: 新增 update_password

前端:
- Login.tsx: 支持验证码/密码切换登录,密码模式下显示忘记密码入口
- Login.css: 新增登录方式切换标签、密码输入框样式
- authStore.ts: 新增 loginWithPassword
- Settings.tsx: 新增账号安全区块,显示密码状态,打开设置/修改密码弹窗
- SetPasswordModal.tsx: 设置/修改密码弹窗(旧密码校验、密码显示切换、表单验证)
- ResetPasswordModal.tsx: 忘记密码弹窗(手机号+验证码+新密码重置)

兼容:
- 零数据库迁移,password_hash 字段已存在(nullable)
- 现有接口不变,完全向后兼容旧版本
 2026-06-09 23:26:50 +08:00
小鱼开发 2cece72abe feat: 用户白名单免验证码登录 
- Settings 新增 SMS_CODE_WHITELIST 配置(逗号分隔手机号)
- login_with_sms 中白名单手机号跳过验证码校验
- 方便内部测试和演示账号使用
 2026-05-21 16:32:09 +08:00
小鱼开发 95e55293c6 security: 全面生产安全加固与部署修复 
后端安全:
- DEBUG 默认 True → False
- 彻底移除 AUTH_BYPASS 认证绕过
- 验证码不再明文打印到日志
- 上传接口增加大小限制(500MB/20MB/100MB)与魔数校验
- python-jose → PyJWT, 更新 requirements.lock/uv.lock
- Bandit 恢复关键规则(B104/B301/B305/B314/B324/B603/B607)
- 修复 5 处 try_except_pass, 15 处加 nosec 注释
- 启用 Bandit pre-commit 钩子

前端安全:
- 配置完整 CSP 策略
- 收紧 Capabilities(fs:allow-read-file → $RESOURCE/**)
- 移除硬编码 devToken
- 清理前端 TODO(美家卡智影命名统一)

部署修复:
- docker-compose.prod 增加 alembic 迁移步骤
- api + scheduler 增加 Redis 心跳健康检查
- Nginx 添加安全响应头
- Nginx client_max_body_size 100M → 500M
- .env.example 补充 UPLOAD_MAX_* 配置与安全注释

其他:
- /voice/upload 合并到 /upload/audio
- Rust 上传增加文件大小检查
- 清理 Rust 19 处 println! + 前端 21 处 console.info
- 修复 VideoCompose.tsx toast 未导入(已有bug)
 2026-05-10 23:31:34 +08:00
小鱼开发 105025ae4d feat: 删除登录即注册逻辑,登录时用户不存在直接报错 
- login_with_sms: get_or_create_by_mobile → get_by_mobile
- 用户不存在时返回 ValueError('用户不存在')
- send_code 保留用户存在性校验
 2026-05-08 21:11:05 +08:00
小鱼开发 12f4e2f3e7 chore: 恢复短信验证码真实校验逻辑 2026-05-08 21:05:22 +08:00
小鱼开发 7a762a9e15 fix: SSE 踢人时 user_id 类型不匹配导致消息发不出去 
- user.id 是 uuid.UUID 对象,_sse_connections 的 key 是字符串
- dict.get(UUID) 与 dict.get(str) 不匹配,queue 永远是 None
- 修复:_kick_old_device(str(user.id))
 2026-05-08 20:55:05 +08:00
小鱼开发 ef991e8c0f chore: 测试期间验证码校验 bypass(任何验证码都通过) 
TODO: 测试结束后恢复 verify_sms_code 中的真实 Redis 校验逻辑
 2026-05-08 18:01:16 +08:00
小鱼开发 8a6caf5d1e fix: 永久修复 UUID 序列化类型不一致 
- UserInfo.id / UserProfileResponse.id: str → UUID
- 移除 auth_service / auth 中多余的 str() 转换
- FastAPI/Pydantic v2 自动处理 UUID → JSON 字符串序列化
 2026-05-08 17:14:41 +08:00
小鱼开发 1b053dbe24 fix(auth): login 返回的 user.id 显式转 str,避免下游 JSON 序列化 500 2026-05-08 16:39:30 +08:00
小鱼开发 d1e7bffc4d fix(auth): JWT payload 中的 user_id 显式转 str,修复 UUID 序列化 500 错误 
- 数据库改为 UUID 类型后,ORM 返回 uuid.UUID 对象
- jwt.encode 内部用 json.dumps 序列化,不支持 UUID 类型
- 业界主流做法:调用处 str(user.id) 转换,不在工具函数里做递归序列化
 2026-05-08 16:30:38 +08:00
小鱼开发 5080f992d9 feat(auth): SMS 日限 10 次 + 前端 send-code 联调后端 API 2026-05-07 21:10:05 +08:00
小鱼开发 51521fc0dd feat(payment): 微信支付 APIv2 + 积分充值 + SMS 短信 + 双 Token 认证 
- 微信支付从 APIv3 降级为 APIv2(MD5/XML)
- 积分系统:充值下单、微信回调、消费冻结/结算/退款
- SMS B2M 短信验证码服务
- 双 Token 认证(Access 30min + Refresh 30days)
- SSE 单设备踢人
- 用户设备管理、积分账户模型
- Alembic 迁移脚本
 2026-05-07 18:43:02 +08:00