小鱼开发
95e55293c6
后端安全: - DEBUG 默认 True → False - 彻底移除 AUTH_BYPASS 认证绕过 - 验证码不再明文打印到日志 - 上传接口增加大小限制(500MB/20MB/100MB)与魔数校验 - python-jose → PyJWT, 更新 requirements.lock/uv.lock - Bandit 恢复关键规则(B104/B301/B305/B314/B324/B603/B607) - 修复 5 处 try_except_pass, 15 处加 nosec 注释 - 启用 Bandit pre-commit 钩子 前端安全: - 配置完整 CSP 策略 - 收紧 Capabilities(fs:allow-read-file → $RESOURCE/**) - 移除硬编码 devToken - 清理前端 TODO(美家卡智影命名统一) 部署修复: - docker-compose.prod 增加 alembic 迁移步骤 - api + scheduler 增加 Redis 心跳健康检查 - Nginx 添加安全响应头 - Nginx client_max_body_size 100M → 500M - .env.example 补充 UPLOAD_MAX_* 配置与安全注释 其他: - /voice/upload 合并到 /upload/audio - Rust 上传增加文件大小检查 - 清理 Rust 19 处 println! + 前端 21 处 console.info - 修复 VideoCompose.tsx toast 未导入(已有bug)
Nginx + acme.sh 部署指南
测试环境 (dev.tapi.meijiaka.cn)
1. 安装 Nginx
sudo apt update
sudo apt install -y nginx
2. 部署 Nginx 配置
sudo cp meijiaka-zy.conf /etc/nginx/sites-available/meijiaka-zy
sudo ln -sf /etc/nginx/sites-available/meijiaka-zy /etc/nginx/sites-enabled/
sudo rm -f /etc/nginx/sites-enabled/default
sudo nginx -t && sudo systemctl reload nginx
3. 申请 SSL 证书(acme.sh)
确保域名 dev.tapi.meijiaka.cn 已解析到服务器公网 IP,然后执行:
cd /opt/meijiaka-zy/python-api/nginx
chmod +x acme-setup.sh
sudo ./acme-setup.sh dev.tapi.meijiaka.cn
脚本会自动:
- 安装 acme.sh(如未安装)
- 申请 Let's Encrypt 证书
- 安装证书到
/etc/nginx/ssl/ - 配置自动续签
4. 防火墙/安全组放行
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
腾讯云控制台安全组也需放行 80 和 443。
5. 验证
curl -I https://dev.tapi.meijiaka.cn/health
应返回 200 OK。
证书管理
查看自动续签任务
crontab -l | grep acme
acme.sh 默认安装 cron 任务,每 60 天自动检查并续签。
手动续签测试(不真正执行)
~/.acme.sh/acme.sh --renew -d dev.tapi.meijiaka.cn --dry-run
强制续签
~/.acme.sh/acme.sh --renew -d dev.tapi.meijiaka.cn --force
查看证书信息
~/.acme.sh/acme.sh --info -d dev.tapi.meijiaka.cn
生产环境 (tapi.meijiaka.cn)
生产环境步骤相同,只需替换域名:
sudo sed -i 's/dev.tapi.meijiaka.cn/tapi.meijiaka.cn/g' /etc/nginx/sites-available/meijiaka-zy
sudo ./acme-setup.sh tapi.meijiaka.cn
sudo nginx -t && sudo systemctl reload nginx
同时更新 docker-compose.prod.yml 中的 CORS_ORIGINS 为 https://tapi.meijiaka.cn。