sundynix-agentix

sundynix/sundynix-agentix

Fork 0

Commit Graph

Author	SHA1	Message	Date
Blizzard	9657a07bb5	feat(auth): 鉴权片2 —— 前端登录闭环 + 保护路由 + 去掉 header 兜底把 JWT 鉴权从后端核心闭环到端到端：后端： - middleware.RequireAuth：上下文无已验证 uid 则 401；挂在 owner 作用域业务路由组。 - 路由拆公开/受保护：公开=auth/health + 按 task_id 寻址的 SSE 与报告导出（EventSource/下载无法带 Bearer）；受保护=tasks/memory/kb*/agents/reports/billing。 - userID(c) 去掉 X-User-ID 兜底，仅信任 JWT 注入的 uid。 - 修 CORS：Allow-Headers 增 Authorization（否则浏览器拦截带 Bearer 的请求）。前端： - lib/api：token 存 localStorage + Bearer 头（不再发 X-User-ID）+ authRegister/Login/Me + 401 清令牌并广播 sdx:logout；submitTask/report/memory/列表加载走 Bearer 与 401 守卫。 - views/Login：登录/注册全屏门。 - App：启动校验令牌 → 无则渲染 Login，有则进主应用；identity.userId=已验证 user.id；监听 sdx:logout 回登录页。 - TopBar：去掉可编辑身份输入，改显登录用户 + 登出。实跑验证（docker+gateway+preview）： - RequireAuth：无 token /kb/list、/agents → 401；/health → 200；带 token → 200。 - 前端：无 token 显登录门；注入有效 token 重载 → 进主应用、顶栏显 Dexter、KB 加载本人库、隔离徽标显雪花 uid。控制台无错、生产构建通过。 - 过程中发现并修复 CORS 缺 Authorization 头的真实 bug。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>	2026-06-17 16:32:00 +08:00
Blizzard	149c35c21b	feat(gateway): 真实鉴权片1 —— JWT 注册/登录 + 校验中间件（后端核心）替掉"裸 X-User-ID 头当身份"的临时方案，落地无状态 JWT 鉴权后端： - internal/auth：JWT 签发/校验（HS256，密钥 env JWT_SECRET，仅接受 HMAC 防 alg 混淆） + bcrypt 密码哈希/校验。纯包，含单测。 - User 模型加 Name + PasswordHash(json:"-" 不外泄)；store 加 CreateUser/GetUserByEmail/ GetUserByID（邮箱唯一冲突 → ErrUserExists）。 - handler/auth：POST /auth/register（建用户+签发）· POST /auth/login（校验+签发，用户不存在与密码错同一文案防枚举）· GET /auth/me。 - middleware/auth：解析 Bearer JWT，校验通过把已验证 userID 注入上下文（非阻断）。 - userID(c) 改为优先取 JWT 注入的 uid，兜底 X-User-ID 头（前端尚未接登录，保持可用）。验证： - 单测：JWT 签发/解析往返、过期拒绝、篡改/非法拒绝、bcrypt 哈希校验。 - 实跑(nats+pg+gateway)：注册→token+user(无密码)、重复注册 409、错密码 401、 /auth/me 带 token 200 / 无 token 401；owner 隔离改用已验证 uid —— 带 token 建的库匿名/伪造 header 都看不到（JWT 用户数据归于雪花 id，header 无法臆测）。片 2 待做：前端登录页 + 存令牌带 Bearer + 处理 401 + 去掉 header 兜底 + 保护路由。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>	2026-06-17 16:14:21 +08:00

Author

SHA1

Message

Date

Blizzard

9657a07bb5

feat(auth): 鉴权片2 —— 前端登录闭环 + 保护路由 + 去掉 header 兜底

把 JWT 鉴权从后端核心闭环到端到端：

后端：
- middleware.RequireAuth：上下文无已验证 uid 则 401；挂在 owner 作用域业务路由组。
- 路由拆 公开/受保护：公开=auth/health + 按 task_id 寻址的 SSE 与报告导出
  （EventSource/下载无法带 Bearer）；受保护=tasks/memory/kb*/agents/reports/billing。
- userID(c) 去掉 X-User-ID 兜底，仅信任 JWT 注入的 uid。
- 修 CORS：Allow-Headers 增 Authorization（否则浏览器拦截带 Bearer 的请求）。

前端：
- lib/api：token 存 localStorage + Bearer 头（不再发 X-User-ID）+ authRegister/Login/Me
  + 401 清令牌并广播 sdx:logout；submitTask/report/memory/列表加载走 Bearer 与 401 守卫。
- views/Login：登录/注册全屏门。
- App：启动校验令牌 → 无则渲染 Login，有则进主应用；identity.userId=已验证 user.id；
  监听 sdx:logout 回登录页。
- TopBar：去掉可编辑身份输入，改显登录用户 + 登出。

实跑验证（docker+gateway+preview）：
- RequireAuth：无 token /kb/list、/agents → 401；/health → 200；带 token → 200。
- 前端：无 token 显登录门；注入有效 token 重载 → 进主应用、顶栏显 Dexter、KB 加载本人库、
  隔离徽标显雪花 uid。控制台无错、生产构建通过。
- 过程中发现并修复 CORS 缺 Authorization 头的真实 bug。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

2026-06-17 16:32:00 +08:00

Blizzard

149c35c21b

feat(gateway): 真实鉴权片1 —— JWT 注册/登录 + 校验中间件（后端核心）

替掉"裸 X-User-ID 头当身份"的临时方案，落地无状态 JWT 鉴权后端：

- internal/auth：JWT 签发/校验（HS256，密钥 env JWT_SECRET，仅接受 HMAC 防 alg 混淆）
  + bcrypt 密码哈希/校验。纯包，含单测。
- User 模型加 Name + PasswordHash(json:"-" 不外泄)；store 加 CreateUser/GetUserByEmail/
  GetUserByID（邮箱唯一冲突 → ErrUserExists）。
- handler/auth：POST /auth/register（建用户+签发）· POST /auth/login（校验+签发，
  用户不存在与密码错同一文案防枚举）· GET /auth/me。
- middleware/auth：解析 Bearer JWT，校验通过把已验证 userID 注入上下文（非阻断）。
- userID(c) 改为优先取 JWT 注入的 uid，兜底 X-User-ID 头（前端尚未接登录，保持可用）。

验证：
- 单测：JWT 签发/解析往返、过期拒绝、篡改/非法拒绝、bcrypt 哈希校验。
- 实跑(nats+pg+gateway)：注册→token+user(无密码)、重复注册 409、错密码 401、
  /auth/me 带 token 200 / 无 token 401；owner 隔离改用已验证 uid —— 带 token 建的库
  匿名/伪造 header 都看不到（JWT 用户数据归于雪花 id，header 无法臆测）。

片 2 待做：前端登录页 + 存令牌带 Bearer + 处理 401 + 去掉 header 兜底 + 保护路由。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

2026-06-17 16:14:21 +08:00

2 Commits