feat(auth): 鉴权片2 —— 前端登录闭环 + 保护路由 + 去掉 header 兜底

把 JWT 鉴权从后端核心闭环到端到端：后端： - middleware.RequireAuth：上下文无已验证 uid 则 401；挂在 owner 作用域业务路由组。 - 路由拆公开/受保护：公开=auth/health + 按 task_id 寻址的 SSE 与报告导出（EventSource/下载无法带 Bearer）；受保护=tasks/memory/kb*/agents/reports/billing。 - userID(c) 去掉 X-User-ID 兜底，仅信任 JWT 注入的 uid。 - 修 CORS：Allow-Headers 增 Authorization（否则浏览器拦截带 Bearer 的请求）。前端： - lib/api：token 存 localStorage + Bearer 头（不再发 X-User-ID）+ authRegister/Login/Me + 401 清令牌并广播 sdx:logout；submitTask/report/memory/列表加载走 Bearer 与 401 守卫。 - views/Login：登录/注册全屏门。 - App：启动校验令牌 → 无则渲染 Login，有则进主应用；identity.userId=已验证 user.id；监听 sdx:logout 回登录页。 - TopBar：去掉可编辑身份输入，改显登录用户 + 登出。实跑验证（docker+gateway+preview）： - RequireAuth：无 token /kb/list、/agents → 401；/health → 200；带 token → 200。 - 前端：无 token 显登录门；注入有效 token 重载 → 进主应用、顶栏显 Dexter、KB 加载本人库、隔离徽标显雪花 uid。控制台无错、生产构建通过。 - 过程中发现并修复 CORS 缺 Authorization 头的真实 bug。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-17 16:32:00 +08:00
parent 149c35c21b
commit 9657a07bb5
8 changed files with 292 additions and 87 deletions
@@ -184,17 +184,14 @@ func (h *Handler) SetMemory(c *gin.Context) {
 	c.JSON(http.StatusOK, gin.H{"status": "ok", "message": res.Content})
 }

-// userID 取当前用户标识：优先 JWT 鉴权中间件注入的已验证 uid；
-// 兜底 X-User-ID 头（开发期 / 前端尚未接登录），都没有则匿名。
+// userID 取当前用户标识 —— 仅信任 JWT 鉴权中间件注入的已验证 uid（不再认 header）。
+// 受保护路由有 RequireAuth 兜底，此处理论上不会返回 anonymous。
 func userID(c *gin.Context) string {
 	if v, ok := c.Get("uid"); ok {
 		if s, _ := v.(string); s != "" {
 			return s
 		}
 	}
-	if u := c.GetHeader("X-User-ID"); u != "" {
-		return u
-	}
 	return "anonymous"
 }