backend/internal/repository/claude_oauth_service.go

package repository

import (
	"context"
	"encoding/json"
	"fmt"
	"net/http"
	"net/url"
	"strings"
	"time"

	"github.com/Wei-Shaw/sub2api/internal/pkg/logger"
	"github.com/Wei-Shaw/sub2api/internal/pkg/oauth"
	"github.com/Wei-Shaw/sub2api/internal/pkg/proxyurl"
	"github.com/Wei-Shaw/sub2api/internal/service"
	"github.com/Wei-Shaw/sub2api/internal/util/logredact"

	"github.com/imroc/req/v3"
)

func NewClaudeOAuthClient() service.ClaudeOAuthClient {
	return &claudeOAuthService{
		baseURL:       "https://claude.ai",
		tokenURL:      oauth.TokenURL,
		clientFactory: createReqClient,
	}
}

type claudeOAuthService struct {
	baseURL       string
	tokenURL      string
	clientFactory func(proxyURL string) (*req.Client, error)
}

func (s *claudeOAuthService) GetOrganizationUUID(ctx context.Context, sessionKey, proxyURL string) (string, error) {
	client, err := s.clientFactory(proxyURL)
	if err != nil {
		return "", fmt.Errorf("create HTTP client: %w", err)
	}

	var orgs []struct {
		UUID      string  `json:"uuid"`
		Name      string  `json:"name"`
		RavenType *string `json:"raven_type"` // nil for personal, "team" for team organization
	}

	targetURL := s.baseURL + "/api/organizations"
	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1: Getting organization UUID from %s", targetURL)

	resp, err := client.R().
		SetContext(ctx).
		SetCookies(&http.Cookie{
			Name:  "sessionKey",
			Value: sessionKey,
		}).
		SetSuccessResult(&orgs).
		Get(targetURL)

	if err != nil {
		logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 FAILED - Request error: %v", err)
		return "", fmt.Errorf("request failed: %w", err)
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 Response - Status: %d", resp.StatusCode)

	if !resp.IsSuccessState() {
		return "", fmt.Errorf("failed to get organizations: status %d, body: %s", resp.StatusCode, resp.String())
	}

	if len(orgs) == 0 {
		return "", fmt.Errorf("no organizations found")
	}

	// 如果只有一个组织，直接使用
	if len(orgs) == 1 {
		logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - Single org found, UUID: %s, Name: %s", orgs[0].UUID, orgs[0].Name)
		return orgs[0].UUID, nil
	}

	// 如果有多个组织，优先选择 raven_type 为 "team" 的组织
	for _, org := range orgs {
		if org.RavenType != nil && *org.RavenType == "team" {
			logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - Selected team org, UUID: %s, Name: %s, RavenType: %s",
				org.UUID, org.Name, *org.RavenType)
			return org.UUID, nil
		}
	}

	// 如果没有 team 类型的组织，使用第一个
	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - No team org found, using first org, UUID: %s, Name: %s", orgs[0].UUID, orgs[0].Name)
	return orgs[0].UUID, nil
}

func (s *claudeOAuthService) GetAuthorizationCode(ctx context.Context, sessionKey, orgUUID, scope, codeChallenge, state, proxyURL string) (string, error) {
	client, err := s.clientFactory(proxyURL)
	if err != nil {
		return "", fmt.Errorf("create HTTP client: %w", err)
	}

	authURL := fmt.Sprintf("%s/v1/oauth/%s/authorize", s.baseURL, orgUUID)

	reqBody := map[string]any{
		"response_type":         "code",
		"client_id":             oauth.ClientID,
		"organization_uuid":     orgUUID,
		"redirect_uri":          oauth.RedirectURI,
		"scope":                 scope,
		"state":                 state,
		"code_challenge":        codeChallenge,
		"code_challenge_method": "S256",
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2: Getting authorization code from %s", authURL)
	reqBodyJSON, _ := json.Marshal(logredact.RedactMap(reqBody))
	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 Request Body: %s", string(reqBodyJSON))

	var result struct {
		RedirectURI string `json:"redirect_uri"`
	}

	resp, err := client.R().
		SetContext(ctx).
		SetCookies(&http.Cookie{
			Name:  "sessionKey",
			Value: sessionKey,
		}).
		SetHeader("Accept", "application/json").
		SetHeader("Accept-Language", "en-US,en;q=0.9").
		SetHeader("Cache-Control", "no-cache").
		SetHeader("Origin", "https://claude.ai").
		SetHeader("Referer", "https://claude.ai/new").
		SetHeader("Content-Type", "application/json").
		SetBody(reqBody).
		SetSuccessResult(&result).
		Post(authURL)

	if err != nil {
		logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 FAILED - Request error: %v", err)
		return "", fmt.Errorf("request failed: %w", err)
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 Response - Status: %d, Body: %s", resp.StatusCode, logredact.RedactJSON(resp.Bytes()))

	if !resp.IsSuccessState() {
		return "", fmt.Errorf("failed to get authorization code: status %d, body: %s", resp.StatusCode, resp.String())
	}

	if result.RedirectURI == "" {
		return "", fmt.Errorf("no redirect_uri in response")
	}

	parsedURL, err := url.Parse(result.RedirectURI)
	if err != nil {
		return "", fmt.Errorf("failed to parse redirect_uri: %w", err)
	}

	queryParams := parsedURL.Query()
	authCode := queryParams.Get("code")
	responseState := queryParams.Get("state")

	if authCode == "" {
		return "", fmt.Errorf("no authorization code in redirect_uri")
	}

	fullCode := authCode
	if responseState != "" {
		fullCode = authCode + "#" + responseState
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 SUCCESS - Got authorization code")
	return fullCode, nil
}

func (s *claudeOAuthService) ExchangeCodeForToken(ctx context.Context, code, codeVerifier, state, proxyURL string, isSetupToken bool) (*oauth.TokenResponse, error) {
	client, err := s.clientFactory(proxyURL)
	if err != nil {
		return nil, fmt.Errorf("create HTTP client: %w", err)
	}

	// Parse code which may contain state in format "authCode#state"
	authCode := code
	codeState := ""
	if idx := strings.Index(code, "#"); idx != -1 {
		authCode = code[:idx]
		codeState = code[idx+1:]
	}

	reqBody := map[string]any{
		"code":          authCode,
		"grant_type":    "authorization_code",
		"client_id":     oauth.ClientID,
		"redirect_uri":  oauth.RedirectURI,
		"code_verifier": codeVerifier,
	}

	if codeState != "" {
		reqBody["state"] = codeState
	}

	// Setup token requires longer expiration (1 year)
	if isSetupToken {
		reqBody["expires_in"] = 31536000 // 365 * 24 * 60 * 60 seconds
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3: Exchanging code for token at %s", s.tokenURL)
	reqBodyJSON, _ := json.Marshal(logredact.RedactMap(reqBody))
	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 Request Body: %s", string(reqBodyJSON))

	var tokenResp oauth.TokenResponse

	resp, err := client.R().
		SetContext(ctx).
		SetHeader("Accept", "application/json, text/plain, */*").
		SetHeader("Content-Type", "application/json").
		SetHeader("User-Agent", "axios/1.8.4").
		SetBody(reqBody).
		SetSuccessResult(&tokenResp).
		Post(s.tokenURL)

	if err != nil {
		logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 FAILED - Request error: %v", err)
		return nil, fmt.Errorf("request failed: %w", err)
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 Response - Status: %d, Body: %s", resp.StatusCode, logredact.RedactJSON(resp.Bytes()))

	if !resp.IsSuccessState() {
		return nil, fmt.Errorf("token exchange failed: status %d, body: %s", resp.StatusCode, resp.String())
	}

	logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 SUCCESS - Got access token")
	return &tokenResp, nil
}

func (s *claudeOAuthService) RefreshToken(ctx context.Context, refreshToken, proxyURL string) (*oauth.TokenResponse, error) {
	client, err := s.clientFactory(proxyURL)
	if err != nil {
		return nil, fmt.Errorf("create HTTP client: %w", err)
	}

	reqBody := map[string]any{
		"grant_type":    "refresh_token",
		"refresh_token": refreshToken,
		"client_id":     oauth.ClientID,
	}

	var tokenResp oauth.TokenResponse

	resp, err := client.R().
		SetContext(ctx).
		SetHeader("Accept", "application/json, text/plain, */*").
		SetHeader("Content-Type", "application/json").
		SetHeader("User-Agent", "axios/1.8.4").
		SetBody(reqBody).
		SetSuccessResult(&tokenResp).
		Post(s.tokenURL)

	if err != nil {
		return nil, fmt.Errorf("request failed: %w", err)
	}

	if !resp.IsSuccessState() {
		return nil, fmt.Errorf("token refresh failed: status %d, body: %s", resp.StatusCode, resp.String())
	}

	return &tokenResp, nil
}

func createReqClient(proxyURL string) (*req.Client, error) {
	// 禁用 CookieJar，确保每次授权都是干净的会话
	client := req.C().
		SetTimeout(60 * time.Second).
		ImpersonateChrome().
		SetCookieJar(nil) // 禁用 CookieJar

	trimmed, _, err := proxyurl.Parse(proxyURL)
	if err != nil {
		return nil, err
	}
	if trimmed != "" {
		client.SetProxyURL(trimmed)
	}

	return client, nil
}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+								package repository
 								import (
 									"context"
 									"encoding/json"
 									"fmt"
 									"net/http"
 									"net/url"
-												fix: 修复Claude OAuth token交换时authorization code解析错误

原代码中 `parts` 变量被创建但从未使用，导致 `len(parts) == 0`
永远为 true，使得即使成功从 `code#state` 格式中分割出 authCode，
最后也会被覆盖为原始的完整字符串。

这导致传递给Claude Token端点的code包含了 `#state` 部分，
Claude返回 "Invalid 'code' in request" 错误。

											
										
										
											2025-12-23 17:14:39 +08:00
+									"strings"
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									"time"
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/pkg/logger"
-												refactor: 重命名 go module

											
										
										
											2025-12-24 21:07:21 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/pkg/oauth"
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/pkg/proxyurl"
-												refactor: 重命名 go module

											
										
										
											2025-12-24 21:07:21 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/service"
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/util/logredact"
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									"github.com/imroc/req/v3"
 								)
 								func NewClaudeOAuthClient() service.ClaudeOAuthClient {
-												test: 增加 repository 测试

											
										
										
											2025-12-25 10:52:56 +08:00
+									return &claudeOAuthService{
 										baseURL:       "https://claude.ai",
 										tokenURL:      oauth.TokenURL,
 										clientFactory: createReqClient,
 									}
 								}
 								type claudeOAuthService struct {
 									baseURL       string
 									tokenURL      string
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									clientFactory func(proxyURL string) (*req.Client, error)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+								}
 								func (s *claudeOAuthService) GetOrganizationUUID(ctx context.Context, sessionKey, proxyURL string) (string, error) {
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									client, err := s.clientFactory(proxyURL)
 									if err != nil {
 										return "", fmt.Errorf("create HTTP client: %w", err)
 									}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									var orgs []struct {
-												feat(oauth): 支持Anthropic的Team账号使用sk授权

											
										
										
											2026-01-23 16:30:12 +08:00
+										UUID      string  `json:"uuid"`
 										Name      string  `json:"name"`
 										RavenType *string `json:"raven_type"` // nil for personal, "team" for team organization
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									}
-												test: 增加 repository 测试

											
										
										
											2025-12-25 10:52:56 +08:00
+									targetURL := s.baseURL + "/api/organizations"
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1: Getting organization UUID from %s", targetURL)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									resp, err := client.R().
 										SetContext(ctx).
 										SetCookies(&http.Cookie{
 											Name:  "sessionKey",
 											Value: sessionKey,
 										}).
 										SetSuccessResult(&orgs).
 										Get(targetURL)
 									if err != nil {
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+										logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 FAILED - Request error: %v", err)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										return "", fmt.Errorf("request failed: %w", err)
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 Response - Status: %d", resp.StatusCode)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									if !resp.IsSuccessState() {
 										return "", fmt.Errorf("failed to get organizations: status %d, body: %s", resp.StatusCode, resp.String())
 									}
 									if len(orgs) == 0 {
 										return "", fmt.Errorf("no organizations found")
 									}
-												feat(oauth): 支持Anthropic的Team账号使用sk授权

											
										
										
											2026-01-23 16:30:12 +08:00
+									// 如果只有一个组织，直接使用
 									if len(orgs) == 1 {
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+										logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - Single org found, UUID: %s, Name: %s", orgs[0].UUID, orgs[0].Name)
-												feat(oauth): 支持Anthropic的Team账号使用sk授权

											
										
										
											2026-01-23 16:30:12 +08:00
+										return orgs[0].UUID, nil
 									}
 									// 如果有多个组织，优先选择 raven_type 为 "team" 的组织
 									for _, org := range orgs {
 										if org.RavenType != nil && *org.RavenType == "team" {
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+											logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - Selected team org, UUID: %s, Name: %s, RavenType: %s",
-												feat(oauth): 支持Anthropic的Team账号使用sk授权

											
										
										
											2026-01-23 16:30:12 +08:00
+												org.UUID, org.Name, *org.RavenType)
 											return org.UUID, nil
 										}
 									}
 									// 如果没有 team 类型的组织，使用第一个
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 1 SUCCESS - No team org found, using first org, UUID: %s, Name: %s", orgs[0].UUID, orgs[0].Name)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									return orgs[0].UUID, nil
 								}
 								func (s *claudeOAuthService) GetAuthorizationCode(ctx context.Context, sessionKey, orgUUID, scope, codeChallenge, state, proxyURL string) (string, error) {
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									client, err := s.clientFactory(proxyURL)
 									if err != nil {
 										return "", fmt.Errorf("create HTTP client: %w", err)
 									}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
-												test: 增加 repository 测试

											
										
										
											2025-12-25 10:52:56 +08:00
+									authURL := fmt.Sprintf("%s/v1/oauth/%s/authorize", s.baseURL, orgUUID)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
-												ci(backend): 添加 gofmt 配置

											
										
										
											2025-12-20 16:19:40 +08:00
+									reqBody := map[string]any{
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										"response_type":         "code",
 										"client_id":             oauth.ClientID,
 										"organization_uuid":     orgUUID,
 										"redirect_uri":          oauth.RedirectURI,
 										"scope":                 scope,
 										"state":                 state,
 										"code_challenge":        codeChallenge,
 										"code_challenge_method": "S256",
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2: Getting authorization code from %s", authURL)
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									reqBodyJSON, _ := json.Marshal(logredact.RedactMap(reqBody))
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 Request Body: %s", string(reqBodyJSON))
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									var result struct {
 										RedirectURI string `json:"redirect_uri"`
 									}
 									resp, err := client.R().
 										SetContext(ctx).
 										SetCookies(&http.Cookie{
 											Name:  "sessionKey",
 											Value: sessionKey,
 										}).
 										SetHeader("Accept", "application/json").
 										SetHeader("Accept-Language", "en-US,en;q=0.9").
 										SetHeader("Cache-Control", "no-cache").
 										SetHeader("Origin", "https://claude.ai").
 										SetHeader("Referer", "https://claude.ai/new").
 										SetHeader("Content-Type", "application/json").
 										SetBody(reqBody).
 										SetSuccessResult(&result).
 										Post(authURL)
 									if err != nil {
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+										logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 FAILED - Request error: %v", err)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										return "", fmt.Errorf("request failed: %w", err)
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 Response - Status: %d, Body: %s", resp.StatusCode, logredact.RedactJSON(resp.Bytes()))
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									if !resp.IsSuccessState() {
 										return "", fmt.Errorf("failed to get authorization code: status %d, body: %s", resp.StatusCode, resp.String())
 									}
 									if result.RedirectURI == "" {
 										return "", fmt.Errorf("no redirect_uri in response")
 									}
 									parsedURL, err := url.Parse(result.RedirectURI)
 									if err != nil {
 										return "", fmt.Errorf("failed to parse redirect_uri: %w", err)
 									}
 									queryParams := parsedURL.Query()
 									authCode := queryParams.Get("code")
 									responseState := queryParams.Get("state")
 									if authCode == "" {
 										return "", fmt.Errorf("no authorization code in redirect_uri")
 									}
 									fullCode := authCode
 									if responseState != "" {
 										fullCode = authCode + "#" + responseState
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 2 SUCCESS - Got authorization code")
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									return fullCode, nil
 								}
-												fix: 修复claude setup token授权效期短的问题

											
										
										
											2025-12-27 20:42:00 +08:00
+								func (s *claudeOAuthService) ExchangeCodeForToken(ctx context.Context, code, codeVerifier, state, proxyURL string, isSetupToken bool) (*oauth.TokenResponse, error) {
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									client, err := s.clientFactory(proxyURL)
 									if err != nil {
 										return nil, fmt.Errorf("create HTTP client: %w", err)
 									}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
-												fix: 修复Claude OAuth token交换时authorization code解析错误

原代码中 `parts` 变量被创建但从未使用，导致 `len(parts) == 0`
永远为 true，使得即使成功从 `code#state` 格式中分割出 authCode，
最后也会被覆盖为原始的完整字符串。

这导致传递给Claude Token端点的code包含了 `#state` 部分，
Claude返回 "Invalid 'code' in request" 错误。

											
										
										
											2025-12-23 17:14:39 +08:00
+									// Parse code which may contain state in format "authCode#state"
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									authCode := code
 									codeState := ""
-												fix: 修复Claude OAuth token交换时authorization code解析错误

原代码中 `parts` 变量被创建但从未使用，导致 `len(parts) == 0`
永远为 true，使得即使成功从 `code#state` 格式中分割出 authCode，
最后也会被覆盖为原始的完整字符串。

这导致传递给Claude Token端点的code包含了 `#state` 部分，
Claude返回 "Invalid 'code' in request" 错误。

											
										
										
											2025-12-23 17:14:39 +08:00
+									if idx := strings.Index(code, "#"); idx != -1 {
 										authCode = code[:idx]
 										codeState = code[idx+1:]
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									}
-												ci(backend): 添加 gofmt 配置

											
										
										
											2025-12-20 16:19:40 +08:00
+									reqBody := map[string]any{
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										"code":          authCode,
 										"grant_type":    "authorization_code",
 										"client_id":     oauth.ClientID,
 										"redirect_uri":  oauth.RedirectURI,
 										"code_verifier": codeVerifier,
 									}
 									if codeState != "" {
 										reqBody["state"] = codeState
 									}
-												fix: 修复claude setup token授权效期短的问题

											
										
										
											2025-12-27 20:42:00 +08:00
+									// Setup token requires longer expiration (1 year)
 									if isSetupToken {
 										reqBody["expires_in"] = 31536000 // 365 * 24 * 60 * 60 seconds
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3: Exchanging code for token at %s", s.tokenURL)
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									reqBodyJSON, _ := json.Marshal(logredact.RedactMap(reqBody))
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 Request Body: %s", string(reqBodyJSON))
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									var tokenResp oauth.TokenResponse
 									resp, err := client.R().
 										SetContext(ctx).
-												fix: 更新Claude OAuth授权配置以匹配最新规范

- 更新TokenURL和RedirectURI为platform.claude.com
- 更新scope定义，区分浏览器URL和内部API调用
- 修正state/code_verifier生成算法使用base64url编码
- 修正授权URL参数顺序并添加code=true
- 更新token交换请求头匹配官方实现
- 清理未使用的类型和函数

											
										
										
											2026-01-19 16:40:06 +08:00
+										SetHeader("Accept", "application/json, text/plain, */*").
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										SetHeader("Content-Type", "application/json").
-												fix: 更新Claude OAuth授权配置以匹配最新规范

- 更新TokenURL和RedirectURI为platform.claude.com
- 更新scope定义，区分浏览器URL和内部API调用
- 修正state/code_verifier生成算法使用base64url编码
- 修正授权URL参数顺序并添加code=true
- 更新token交换请求头匹配官方实现
- 清理未使用的类型和函数

											
										
										
											2026-01-19 16:40:06 +08:00
+										SetHeader("User-Agent", "axios/1.8.4").
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										SetBody(reqBody).
 										SetSuccessResult(&tokenResp).
-												test: 增加 repository 测试

											
										
										
											2025-12-25 10:52:56 +08:00
+										Post(s.tokenURL)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									if err != nil {
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+										logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 FAILED - Request error: %v", err)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										return nil, fmt.Errorf("request failed: %w", err)
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 Response - Status: %d, Body: %s", resp.StatusCode, logredact.RedactJSON(resp.Bytes()))
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									if !resp.IsSuccessState() {
 										return nil, fmt.Errorf("token exchange failed: status %d, body: %s", resp.StatusCode, resp.String())
 									}
-												chore(logging): 完成后端日志审计与结构化迁移

- 将高密度服务与处理器日志迁移到新日志系统（LegacyPrintf/结构化日志）
- 增加 stdlog bridge 与兼容测试，保留旧日志捕获能力
- 将 OpenAI 断流告警改为结构化 Warn 并改造对应测试为 sink 捕获
- 补齐后端相关文件 logger 引用并通过全量 go test

											
										
										
											2026-02-12 19:01:09 +08:00
+									logger.LegacyPrintf("repository.claude_oauth", "[OAuth] Step 3 SUCCESS - Got access token")
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+									return &tokenResp, nil
 								}
 								func (s *claudeOAuthService) RefreshToken(ctx context.Context, refreshToken, proxyURL string) (*oauth.TokenResponse, error) {
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									client, err := s.clientFactory(proxyURL)
 									if err != nil {
 										return nil, fmt.Errorf("create HTTP client: %w", err)
 									}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
-												fix: 修复claude OAuth账户刷新token失败的bug

											
										
										
											2025-12-27 13:50:35 +08:00
+									reqBody := map[string]any{
 										"grant_type":    "refresh_token",
 										"refresh_token": refreshToken,
 										"client_id":     oauth.ClientID,
 									}
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									var tokenResp oauth.TokenResponse
 									resp, err := client.R().
 										SetContext(ctx).
-												fix: 更新Claude OAuth授权配置以匹配最新规范

- 更新TokenURL和RedirectURI为platform.claude.com
- 更新scope定义，区分浏览器URL和内部API调用
- 修正state/code_verifier生成算法使用base64url编码
- 修正授权URL参数顺序并添加code=true
- 更新token交换请求头匹配官方实现
- 清理未使用的类型和函数

											
										
										
											2026-01-19 16:40:06 +08:00
+										SetHeader("Accept", "application/json, text/plain, */*").
-												fix: 修复claude OAuth账户刷新token失败的bug

											
										
										
											2025-12-27 13:50:35 +08:00
+										SetHeader("Content-Type", "application/json").
-												fix: 更新Claude OAuth授权配置以匹配最新规范

- 更新TokenURL和RedirectURI为platform.claude.com
- 更新scope定义，区分浏览器URL和内部API调用
- 修正state/code_verifier生成算法使用base64url编码
- 修正授权URL参数顺序并添加code=true
- 更新token交换请求头匹配官方实现
- 清理未使用的类型和函数

											
										
										
											2026-01-19 16:40:06 +08:00
+										SetHeader("User-Agent", "axios/1.8.4").
-												fix: 修复claude OAuth账户刷新token失败的bug

											
										
										
											2025-12-27 13:50:35 +08:00
+										SetBody(reqBody).
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+										SetSuccessResult(&tokenResp).
-												test: 增加 repository 测试

											
										
										
											2025-12-25 10:52:56 +08:00
+										Post(s.tokenURL)
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
 									if err != nil {
 										return nil, fmt.Errorf("request failed: %w", err)
 									}
 									if !resp.IsSuccessState() {
 										return nil, fmt.Errorf("token refresh failed: status %d, body: %s", resp.StatusCode, resp.String())
 									}
 									return &tokenResp, nil
 								}
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+								func createReqClient(proxyURL string) (*req.Client, error) {
-												fix(oauth): 修复claude cookie添加账号时会话混淆的问题

											
										
										
											2026-01-04 14:20:17 +08:00
+									// 禁用 CookieJar，确保每次授权都是干净的会话
 									client := req.C().
 										SetTimeout(60 * time.Second).
 										ImpersonateChrome().
 										SetCookieJar(nil) // 禁用 CookieJar
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									trimmed, _, err := proxyurl.Parse(proxyURL)
 									if err != nil {
 										return nil, err
 									}
 									if trimmed != "" {
 										client.SetProxyURL(trimmed)
-												fix(oauth): 修复claude cookie添加账号时会话混淆的问题

											
										
										
											2026-01-04 14:20:17 +08:00
+									}
-												feat(proxy): 集中代理 URL 验证并实现全局 fail-fast

提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑
统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。

主要变更：
- 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单
- socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感）
- antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5
- openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient
- 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为）
- 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试

											
										
										
											2026-03-02 15:53:26 +08:00
+									return client, nil
-												refactor(backend): service http ports

											
										
										
											2025-12-20 11:56:11 +08:00
+								}