backend/internal/handler/admin/setting_handler.go

package admin

import (
	"log"
	"strings"
	"time"

	"github.com/Wei-Shaw/sub2api/internal/config"
	"github.com/Wei-Shaw/sub2api/internal/handler/dto"
	"github.com/Wei-Shaw/sub2api/internal/pkg/response"
	"github.com/Wei-Shaw/sub2api/internal/server/middleware"
	"github.com/Wei-Shaw/sub2api/internal/service"

	"github.com/gin-gonic/gin"
)

// SettingHandler 系统设置处理器
type SettingHandler struct {
	settingService   *service.SettingService
	emailService     *service.EmailService
	turnstileService *service.TurnstileService
	opsService       *service.OpsService
}

// NewSettingHandler 创建系统设置处理器
func NewSettingHandler(settingService *service.SettingService, emailService *service.EmailService, turnstileService *service.TurnstileService, opsService *service.OpsService) *SettingHandler {
	return &SettingHandler{
		settingService:   settingService,
		emailService:     emailService,
		turnstileService: turnstileService,
		opsService:       opsService,
	}
}

// GetSettings 获取所有系统设置
// GET /api/v1/admin/settings
func (h *SettingHandler) GetSettings(c *gin.Context) {
	settings, err := h.settingService.GetAllSettings(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	// Check if ops monitoring is enabled (respects config.ops.enabled)
	opsEnabled := h.opsService != nil && h.opsService.IsMonitoringEnabled(c.Request.Context())

	response.Success(c, dto.SystemSettings{
		RegistrationEnabled:                  settings.RegistrationEnabled,
		EmailVerifyEnabled:                   settings.EmailVerifyEnabled,
		PromoCodeEnabled:                     settings.PromoCodeEnabled,
		PasswordResetEnabled:                 settings.PasswordResetEnabled,
		TotpEnabled:                          settings.TotpEnabled,
		TotpEncryptionKeyConfigured:          h.settingService.IsTotpEncryptionKeyConfigured(),
		SMTPHost:                             settings.SMTPHost,
		SMTPPort:                             settings.SMTPPort,
		SMTPUsername:                         settings.SMTPUsername,
		SMTPPasswordConfigured:               settings.SMTPPasswordConfigured,
		SMTPFrom:                             settings.SMTPFrom,
		SMTPFromName:                         settings.SMTPFromName,
		SMTPUseTLS:                           settings.SMTPUseTLS,
		TurnstileEnabled:                     settings.TurnstileEnabled,
		TurnstileSiteKey:                     settings.TurnstileSiteKey,
		TurnstileSecretKeyConfigured:         settings.TurnstileSecretKeyConfigured,
		LinuxDoConnectEnabled:                settings.LinuxDoConnectEnabled,
		LinuxDoConnectClientID:               settings.LinuxDoConnectClientID,
		LinuxDoConnectClientSecretConfigured: settings.LinuxDoConnectClientSecretConfigured,
		LinuxDoConnectRedirectURL:            settings.LinuxDoConnectRedirectURL,
		SiteName:                             settings.SiteName,
		SiteLogo:                             settings.SiteLogo,
		SiteSubtitle:                         settings.SiteSubtitle,
		APIBaseURL:                           settings.APIBaseURL,
		ContactInfo:                          settings.ContactInfo,
		DocURL:                               settings.DocURL,
		HomeContent:                          settings.HomeContent,
		HideCcsImportButton:                  settings.HideCcsImportButton,
		DefaultConcurrency:                   settings.DefaultConcurrency,
		DefaultBalance:                       settings.DefaultBalance,
		EnableModelFallback:                  settings.EnableModelFallback,
		FallbackModelAnthropic:               settings.FallbackModelAnthropic,
		FallbackModelOpenAI:                  settings.FallbackModelOpenAI,
		FallbackModelGemini:                  settings.FallbackModelGemini,
		FallbackModelAntigravity:             settings.FallbackModelAntigravity,
		EnableIdentityPatch:                  settings.EnableIdentityPatch,
		IdentityPatchPrompt:                  settings.IdentityPatchPrompt,
		OpsMonitoringEnabled:                 opsEnabled && settings.OpsMonitoringEnabled,
		OpsRealtimeMonitoringEnabled:         settings.OpsRealtimeMonitoringEnabled,
		OpsQueryModeDefault:                  settings.OpsQueryModeDefault,
		OpsMetricsIntervalSeconds:            settings.OpsMetricsIntervalSeconds,
	})
}

// UpdateSettingsRequest 更新设置请求
type UpdateSettingsRequest struct {
	// 注册设置
	RegistrationEnabled  bool `json:"registration_enabled"`
	EmailVerifyEnabled   bool `json:"email_verify_enabled"`
	PromoCodeEnabled     bool `json:"promo_code_enabled"`
	PasswordResetEnabled bool `json:"password_reset_enabled"`
	TotpEnabled          bool `json:"totp_enabled"` // TOTP 双因素认证

	// 邮件服务设置
	SMTPHost     string `json:"smtp_host"`
	SMTPPort     int    `json:"smtp_port"`
	SMTPUsername string `json:"smtp_username"`
	SMTPPassword string `json:"smtp_password"`
	SMTPFrom     string `json:"smtp_from_email"`
	SMTPFromName string `json:"smtp_from_name"`
	SMTPUseTLS   bool   `json:"smtp_use_tls"`

	// Cloudflare Turnstile 设置
	TurnstileEnabled   bool   `json:"turnstile_enabled"`
	TurnstileSiteKey   string `json:"turnstile_site_key"`
	TurnstileSecretKey string `json:"turnstile_secret_key"`

	// LinuxDo Connect OAuth 登录
	LinuxDoConnectEnabled      bool   `json:"linuxdo_connect_enabled"`
	LinuxDoConnectClientID     string `json:"linuxdo_connect_client_id"`
	LinuxDoConnectClientSecret string `json:"linuxdo_connect_client_secret"`
	LinuxDoConnectRedirectURL  string `json:"linuxdo_connect_redirect_url"`

	// OEM设置
	SiteName            string `json:"site_name"`
	SiteLogo            string `json:"site_logo"`
	SiteSubtitle        string `json:"site_subtitle"`
	APIBaseURL          string `json:"api_base_url"`
	ContactInfo         string `json:"contact_info"`
	DocURL              string `json:"doc_url"`
	HomeContent         string `json:"home_content"`
	HideCcsImportButton bool   `json:"hide_ccs_import_button"`

	// 默认配置
	DefaultConcurrency int     `json:"default_concurrency"`
	DefaultBalance     float64 `json:"default_balance"`

	// Model fallback configuration
	EnableModelFallback      bool   `json:"enable_model_fallback"`
	FallbackModelAnthropic   string `json:"fallback_model_anthropic"`
	FallbackModelOpenAI      string `json:"fallback_model_openai"`
	FallbackModelGemini      string `json:"fallback_model_gemini"`
	FallbackModelAntigravity string `json:"fallback_model_antigravity"`

	// Identity patch configuration (Claude -> Gemini)
	EnableIdentityPatch bool   `json:"enable_identity_patch"`
	IdentityPatchPrompt string `json:"identity_patch_prompt"`

	// Ops monitoring (vNext)
	OpsMonitoringEnabled         *bool   `json:"ops_monitoring_enabled"`
	OpsRealtimeMonitoringEnabled *bool   `json:"ops_realtime_monitoring_enabled"`
	OpsQueryModeDefault          *string `json:"ops_query_mode_default"`
	OpsMetricsIntervalSeconds    *int    `json:"ops_metrics_interval_seconds"`
}

// UpdateSettings 更新系统设置
// PUT /api/v1/admin/settings
func (h *SettingHandler) UpdateSettings(c *gin.Context) {
	var req UpdateSettingsRequest
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}

	previousSettings, err := h.settingService.GetAllSettings(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	// 验证参数
	if req.DefaultConcurrency < 1 {
		req.DefaultConcurrency = 1
	}
	if req.DefaultBalance < 0 {
		req.DefaultBalance = 0
	}
	if req.SMTPPort <= 0 {
		req.SMTPPort = 587
	}

	// Turnstile 参数验证
	if req.TurnstileEnabled {
		// 检查必填字段
		if req.TurnstileSiteKey == "" {
			response.BadRequest(c, "Turnstile Site Key is required when enabled")
			return
		}
		// 如果未提供 secret key，使用已保存的值（留空保留当前值）
		if req.TurnstileSecretKey == "" {
			if previousSettings.TurnstileSecretKey == "" {
				response.BadRequest(c, "Turnstile Secret Key is required when enabled")
				return
			}
			req.TurnstileSecretKey = previousSettings.TurnstileSecretKey
		}

		// 当 site_key 或 secret_key 任一变化时验证（避免配置错误导致无法登录）
		siteKeyChanged := previousSettings.TurnstileSiteKey != req.TurnstileSiteKey
		secretKeyChanged := previousSettings.TurnstileSecretKey != req.TurnstileSecretKey
		if siteKeyChanged || secretKeyChanged {
			if err := h.turnstileService.ValidateSecretKey(c.Request.Context(), req.TurnstileSecretKey); err != nil {
				response.ErrorFrom(c, err)
				return
			}
		}
	}

	// TOTP 双因素认证参数验证
	// 只有手动配置了加密密钥才允许启用 TOTP 功能
	if req.TotpEnabled && !previousSettings.TotpEnabled {
		// 尝试启用 TOTP，检查加密密钥是否已手动配置
		if !h.settingService.IsTotpEncryptionKeyConfigured() {
			response.BadRequest(c, "Cannot enable TOTP: TOTP_ENCRYPTION_KEY environment variable must be configured first. Generate a key with 'openssl rand -hex 32' and set it in your environment.")
			return
		}
	}

	// LinuxDo Connect 参数验证
	if req.LinuxDoConnectEnabled {
		req.LinuxDoConnectClientID = strings.TrimSpace(req.LinuxDoConnectClientID)
		req.LinuxDoConnectClientSecret = strings.TrimSpace(req.LinuxDoConnectClientSecret)
		req.LinuxDoConnectRedirectURL = strings.TrimSpace(req.LinuxDoConnectRedirectURL)

		if req.LinuxDoConnectClientID == "" {
			response.BadRequest(c, "LinuxDo Client ID is required when enabled")
			return
		}
		if req.LinuxDoConnectRedirectURL == "" {
			response.BadRequest(c, "LinuxDo Redirect URL is required when enabled")
			return
		}
		if err := config.ValidateAbsoluteHTTPURL(req.LinuxDoConnectRedirectURL); err != nil {
			response.BadRequest(c, "LinuxDo Redirect URL must be an absolute http(s) URL")
			return
		}

		// 如果未提供 client_secret，则保留现有值（如有）。
		if req.LinuxDoConnectClientSecret == "" {
			if previousSettings.LinuxDoConnectClientSecret == "" {
				response.BadRequest(c, "LinuxDo Client Secret is required when enabled")
				return
			}
			req.LinuxDoConnectClientSecret = previousSettings.LinuxDoConnectClientSecret
		}
	}

	// Ops metrics collector interval validation (seconds).
	if req.OpsMetricsIntervalSeconds != nil {
		v := *req.OpsMetricsIntervalSeconds
		if v < 60 {
			v = 60
		}
		if v > 3600 {
			v = 3600
		}
		req.OpsMetricsIntervalSeconds = &v
	}

	settings := &service.SystemSettings{
		RegistrationEnabled:        req.RegistrationEnabled,
		EmailVerifyEnabled:         req.EmailVerifyEnabled,
		PromoCodeEnabled:           req.PromoCodeEnabled,
		PasswordResetEnabled:       req.PasswordResetEnabled,
		TotpEnabled:                req.TotpEnabled,
		SMTPHost:                   req.SMTPHost,
		SMTPPort:                   req.SMTPPort,
		SMTPUsername:               req.SMTPUsername,
		SMTPPassword:               req.SMTPPassword,
		SMTPFrom:                   req.SMTPFrom,
		SMTPFromName:               req.SMTPFromName,
		SMTPUseTLS:                 req.SMTPUseTLS,
		TurnstileEnabled:           req.TurnstileEnabled,
		TurnstileSiteKey:           req.TurnstileSiteKey,
		TurnstileSecretKey:         req.TurnstileSecretKey,
		LinuxDoConnectEnabled:      req.LinuxDoConnectEnabled,
		LinuxDoConnectClientID:     req.LinuxDoConnectClientID,
		LinuxDoConnectClientSecret: req.LinuxDoConnectClientSecret,
		LinuxDoConnectRedirectURL:  req.LinuxDoConnectRedirectURL,
		SiteName:                   req.SiteName,
		SiteLogo:                   req.SiteLogo,
		SiteSubtitle:               req.SiteSubtitle,
		APIBaseURL:                 req.APIBaseURL,
		ContactInfo:                req.ContactInfo,
		DocURL:                     req.DocURL,
		HomeContent:                req.HomeContent,
		HideCcsImportButton:        req.HideCcsImportButton,
		DefaultConcurrency:         req.DefaultConcurrency,
		DefaultBalance:             req.DefaultBalance,
		EnableModelFallback:        req.EnableModelFallback,
		FallbackModelAnthropic:     req.FallbackModelAnthropic,
		FallbackModelOpenAI:        req.FallbackModelOpenAI,
		FallbackModelGemini:        req.FallbackModelGemini,
		FallbackModelAntigravity:   req.FallbackModelAntigravity,
		EnableIdentityPatch:        req.EnableIdentityPatch,
		IdentityPatchPrompt:        req.IdentityPatchPrompt,
		OpsMonitoringEnabled: func() bool {
			if req.OpsMonitoringEnabled != nil {
				return *req.OpsMonitoringEnabled
			}
			return previousSettings.OpsMonitoringEnabled
		}(),
		OpsRealtimeMonitoringEnabled: func() bool {
			if req.OpsRealtimeMonitoringEnabled != nil {
				return *req.OpsRealtimeMonitoringEnabled
			}
			return previousSettings.OpsRealtimeMonitoringEnabled
		}(),
		OpsQueryModeDefault: func() string {
			if req.OpsQueryModeDefault != nil {
				return *req.OpsQueryModeDefault
			}
			return previousSettings.OpsQueryModeDefault
		}(),
		OpsMetricsIntervalSeconds: func() int {
			if req.OpsMetricsIntervalSeconds != nil {
				return *req.OpsMetricsIntervalSeconds
			}
			return previousSettings.OpsMetricsIntervalSeconds
		}(),
	}

	if err := h.settingService.UpdateSettings(c.Request.Context(), settings); err != nil {
		response.ErrorFrom(c, err)
		return
	}

	h.auditSettingsUpdate(c, previousSettings, settings, req)

	// 重新获取设置返回
	updatedSettings, err := h.settingService.GetAllSettings(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, dto.SystemSettings{
		RegistrationEnabled:                  updatedSettings.RegistrationEnabled,
		EmailVerifyEnabled:                   updatedSettings.EmailVerifyEnabled,
		PromoCodeEnabled:                     updatedSettings.PromoCodeEnabled,
		PasswordResetEnabled:                 updatedSettings.PasswordResetEnabled,
		TotpEnabled:                          updatedSettings.TotpEnabled,
		TotpEncryptionKeyConfigured:          h.settingService.IsTotpEncryptionKeyConfigured(),
		SMTPHost:                             updatedSettings.SMTPHost,
		SMTPPort:                             updatedSettings.SMTPPort,
		SMTPUsername:                         updatedSettings.SMTPUsername,
		SMTPPasswordConfigured:               updatedSettings.SMTPPasswordConfigured,
		SMTPFrom:                             updatedSettings.SMTPFrom,
		SMTPFromName:                         updatedSettings.SMTPFromName,
		SMTPUseTLS:                           updatedSettings.SMTPUseTLS,
		TurnstileEnabled:                     updatedSettings.TurnstileEnabled,
		TurnstileSiteKey:                     updatedSettings.TurnstileSiteKey,
		TurnstileSecretKeyConfigured:         updatedSettings.TurnstileSecretKeyConfigured,
		LinuxDoConnectEnabled:                updatedSettings.LinuxDoConnectEnabled,
		LinuxDoConnectClientID:               updatedSettings.LinuxDoConnectClientID,
		LinuxDoConnectClientSecretConfigured: updatedSettings.LinuxDoConnectClientSecretConfigured,
		LinuxDoConnectRedirectURL:            updatedSettings.LinuxDoConnectRedirectURL,
		SiteName:                             updatedSettings.SiteName,
		SiteLogo:                             updatedSettings.SiteLogo,
		SiteSubtitle:                         updatedSettings.SiteSubtitle,
		APIBaseURL:                           updatedSettings.APIBaseURL,
		ContactInfo:                          updatedSettings.ContactInfo,
		DocURL:                               updatedSettings.DocURL,
		HomeContent:                          updatedSettings.HomeContent,
		HideCcsImportButton:                  updatedSettings.HideCcsImportButton,
		DefaultConcurrency:                   updatedSettings.DefaultConcurrency,
		DefaultBalance:                       updatedSettings.DefaultBalance,
		EnableModelFallback:                  updatedSettings.EnableModelFallback,
		FallbackModelAnthropic:               updatedSettings.FallbackModelAnthropic,
		FallbackModelOpenAI:                  updatedSettings.FallbackModelOpenAI,
		FallbackModelGemini:                  updatedSettings.FallbackModelGemini,
		FallbackModelAntigravity:             updatedSettings.FallbackModelAntigravity,
		EnableIdentityPatch:                  updatedSettings.EnableIdentityPatch,
		IdentityPatchPrompt:                  updatedSettings.IdentityPatchPrompt,
		OpsMonitoringEnabled:                 updatedSettings.OpsMonitoringEnabled,
		OpsRealtimeMonitoringEnabled:         updatedSettings.OpsRealtimeMonitoringEnabled,
		OpsQueryModeDefault:                  updatedSettings.OpsQueryModeDefault,
		OpsMetricsIntervalSeconds:            updatedSettings.OpsMetricsIntervalSeconds,
	})
}

func (h *SettingHandler) auditSettingsUpdate(c *gin.Context, before *service.SystemSettings, after *service.SystemSettings, req UpdateSettingsRequest) {
	if before == nil || after == nil {
		return
	}

	changed := diffSettings(before, after, req)
	if len(changed) == 0 {
		return
	}

	subject, _ := middleware.GetAuthSubjectFromContext(c)
	role, _ := middleware.GetUserRoleFromContext(c)
	log.Printf("AUDIT: settings updated at=%s user_id=%d role=%s changed=%v",
		time.Now().UTC().Format(time.RFC3339),
		subject.UserID,
		role,
		changed,
	)
}

func diffSettings(before *service.SystemSettings, after *service.SystemSettings, req UpdateSettingsRequest) []string {
	changed := make([]string, 0, 20)
	if before.RegistrationEnabled != after.RegistrationEnabled {
		changed = append(changed, "registration_enabled")
	}
	if before.EmailVerifyEnabled != after.EmailVerifyEnabled {
		changed = append(changed, "email_verify_enabled")
	}
	if before.PasswordResetEnabled != after.PasswordResetEnabled {
		changed = append(changed, "password_reset_enabled")
	}
	if before.TotpEnabled != after.TotpEnabled {
		changed = append(changed, "totp_enabled")
	}
	if before.SMTPHost != after.SMTPHost {
		changed = append(changed, "smtp_host")
	}
	if before.SMTPPort != after.SMTPPort {
		changed = append(changed, "smtp_port")
	}
	if before.SMTPUsername != after.SMTPUsername {
		changed = append(changed, "smtp_username")
	}
	if req.SMTPPassword != "" {
		changed = append(changed, "smtp_password")
	}
	if before.SMTPFrom != after.SMTPFrom {
		changed = append(changed, "smtp_from_email")
	}
	if before.SMTPFromName != after.SMTPFromName {
		changed = append(changed, "smtp_from_name")
	}
	if before.SMTPUseTLS != after.SMTPUseTLS {
		changed = append(changed, "smtp_use_tls")
	}
	if before.TurnstileEnabled != after.TurnstileEnabled {
		changed = append(changed, "turnstile_enabled")
	}
	if before.TurnstileSiteKey != after.TurnstileSiteKey {
		changed = append(changed, "turnstile_site_key")
	}
	if req.TurnstileSecretKey != "" {
		changed = append(changed, "turnstile_secret_key")
	}
	if before.LinuxDoConnectEnabled != after.LinuxDoConnectEnabled {
		changed = append(changed, "linuxdo_connect_enabled")
	}
	if before.LinuxDoConnectClientID != after.LinuxDoConnectClientID {
		changed = append(changed, "linuxdo_connect_client_id")
	}
	if req.LinuxDoConnectClientSecret != "" {
		changed = append(changed, "linuxdo_connect_client_secret")
	}
	if before.LinuxDoConnectRedirectURL != after.LinuxDoConnectRedirectURL {
		changed = append(changed, "linuxdo_connect_redirect_url")
	}
	if before.SiteName != after.SiteName {
		changed = append(changed, "site_name")
	}
	if before.SiteLogo != after.SiteLogo {
		changed = append(changed, "site_logo")
	}
	if before.SiteSubtitle != after.SiteSubtitle {
		changed = append(changed, "site_subtitle")
	}
	if before.APIBaseURL != after.APIBaseURL {
		changed = append(changed, "api_base_url")
	}
	if before.ContactInfo != after.ContactInfo {
		changed = append(changed, "contact_info")
	}
	if before.DocURL != after.DocURL {
		changed = append(changed, "doc_url")
	}
	if before.HomeContent != after.HomeContent {
		changed = append(changed, "home_content")
	}
	if before.HideCcsImportButton != after.HideCcsImportButton {
		changed = append(changed, "hide_ccs_import_button")
	}
	if before.DefaultConcurrency != after.DefaultConcurrency {
		changed = append(changed, "default_concurrency")
	}
	if before.DefaultBalance != after.DefaultBalance {
		changed = append(changed, "default_balance")
	}
	if before.EnableModelFallback != after.EnableModelFallback {
		changed = append(changed, "enable_model_fallback")
	}
	if before.FallbackModelAnthropic != after.FallbackModelAnthropic {
		changed = append(changed, "fallback_model_anthropic")
	}
	if before.FallbackModelOpenAI != after.FallbackModelOpenAI {
		changed = append(changed, "fallback_model_openai")
	}
	if before.FallbackModelGemini != after.FallbackModelGemini {
		changed = append(changed, "fallback_model_gemini")
	}
	if before.FallbackModelAntigravity != after.FallbackModelAntigravity {
		changed = append(changed, "fallback_model_antigravity")
	}
	if before.EnableIdentityPatch != after.EnableIdentityPatch {
		changed = append(changed, "enable_identity_patch")
	}
	if before.IdentityPatchPrompt != after.IdentityPatchPrompt {
		changed = append(changed, "identity_patch_prompt")
	}
	if before.OpsMonitoringEnabled != after.OpsMonitoringEnabled {
		changed = append(changed, "ops_monitoring_enabled")
	}
	if before.OpsRealtimeMonitoringEnabled != after.OpsRealtimeMonitoringEnabled {
		changed = append(changed, "ops_realtime_monitoring_enabled")
	}
	if before.OpsQueryModeDefault != after.OpsQueryModeDefault {
		changed = append(changed, "ops_query_mode_default")
	}
	if before.OpsMetricsIntervalSeconds != after.OpsMetricsIntervalSeconds {
		changed = append(changed, "ops_metrics_interval_seconds")
	}
	return changed
}

// TestSMTPRequest 测试SMTP连接请求
type TestSMTPRequest struct {
	SMTPHost     string `json:"smtp_host" binding:"required"`
	SMTPPort     int    `json:"smtp_port"`
	SMTPUsername string `json:"smtp_username"`
	SMTPPassword string `json:"smtp_password"`
	SMTPUseTLS   bool   `json:"smtp_use_tls"`
}

// TestSMTPConnection 测试SMTP连接
// POST /api/v1/admin/settings/test-smtp
func (h *SettingHandler) TestSMTPConnection(c *gin.Context) {
	var req TestSMTPRequest
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}

	if req.SMTPPort <= 0 {
		req.SMTPPort = 587
	}

	// 如果未提供密码，从数据库获取已保存的密码
	password := req.SMTPPassword
	if password == "" {
		savedConfig, err := h.emailService.GetSMTPConfig(c.Request.Context())
		if err == nil && savedConfig != nil {
			password = savedConfig.Password
		}
	}

	config := &service.SMTPConfig{
		Host:     req.SMTPHost,
		Port:     req.SMTPPort,
		Username: req.SMTPUsername,
		Password: password,
		UseTLS:   req.SMTPUseTLS,
	}

	err := h.emailService.TestSMTPConnectionWithConfig(config)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, gin.H{"message": "SMTP connection successful"})
}

// SendTestEmailRequest 发送测试邮件请求
type SendTestEmailRequest struct {
	Email        string `json:"email" binding:"required,email"`
	SMTPHost     string `json:"smtp_host" binding:"required"`
	SMTPPort     int    `json:"smtp_port"`
	SMTPUsername string `json:"smtp_username"`
	SMTPPassword string `json:"smtp_password"`
	SMTPFrom     string `json:"smtp_from_email"`
	SMTPFromName string `json:"smtp_from_name"`
	SMTPUseTLS   bool   `json:"smtp_use_tls"`
}

// SendTestEmail 发送测试邮件
// POST /api/v1/admin/settings/send-test-email
func (h *SettingHandler) SendTestEmail(c *gin.Context) {
	var req SendTestEmailRequest
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}

	if req.SMTPPort <= 0 {
		req.SMTPPort = 587
	}

	// 如果未提供密码，从数据库获取已保存的密码
	password := req.SMTPPassword
	if password == "" {
		savedConfig, err := h.emailService.GetSMTPConfig(c.Request.Context())
		if err == nil && savedConfig != nil {
			password = savedConfig.Password
		}
	}

	config := &service.SMTPConfig{
		Host:     req.SMTPHost,
		Port:     req.SMTPPort,
		Username: req.SMTPUsername,
		Password: password,
		From:     req.SMTPFrom,
		FromName: req.SMTPFromName,
		UseTLS:   req.SMTPUseTLS,
	}

	siteName := h.settingService.GetSiteName(c.Request.Context())
	subject := "[" + siteName + "] Test Email"
	body := `
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <style>
        body { font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, sans-serif; background-color: #f5f5f5; margin: 0; padding: 20px; }
        .container { max-width: 600px; margin: 0 auto; background-color: #ffffff; border-radius: 8px; overflow: hidden; box-shadow: 0 2px 8px rgba(0,0,0,0.1); }
        .header { background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); color: white; padding: 30px; text-align: center; }
        .content { padding: 40px 30px; text-align: center; }
        .success { color: #10b981; font-size: 48px; margin-bottom: 20px; }
        .footer { background-color: #f8f9fa; padding: 20px; text-align: center; color: #999; font-size: 12px; }
    </style>
</head>
<body>
    <div class="container">
        <div class="header">
            <h1>` + siteName + `</h1>
        </div>
        <div class="content">
            <div class="success">✓</div>
            <h2>Email Configuration Successful!</h2>
            <p>This is a test email to verify your SMTP settings are working correctly.</p>
        </div>
        <div class="footer">
            <p>This is an automated test message.</p>
        </div>
    </div>
</body>
</html>
`

	if err := h.emailService.SendEmailWithConfig(config, req.Email, subject, body); err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, gin.H{"message": "Test email sent successfully"})
}

// GetAdminAPIKey 获取管理员 API Key 状态
// GET /api/v1/admin/settings/admin-api-key
func (h *SettingHandler) GetAdminAPIKey(c *gin.Context) {
	maskedKey, exists, err := h.settingService.GetAdminAPIKeyStatus(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, gin.H{
		"exists":     exists,
		"masked_key": maskedKey,
	})
}

// RegenerateAdminAPIKey 生成/重新生成管理员 API Key
// POST /api/v1/admin/settings/admin-api-key/regenerate
func (h *SettingHandler) RegenerateAdminAPIKey(c *gin.Context) {
	key, err := h.settingService.GenerateAdminAPIKey(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, gin.H{
		"key": key, // 完整 key 只在生成时返回一次
	})
}

// DeleteAdminAPIKey 删除管理员 API Key
// DELETE /api/v1/admin/settings/admin-api-key
func (h *SettingHandler) DeleteAdminAPIKey(c *gin.Context) {
	if err := h.settingService.DeleteAdminAPIKey(c.Request.Context()); err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, gin.H{"message": "Admin API key deleted"})
}

// GetStreamTimeoutSettings 获取流超时处理配置
// GET /api/v1/admin/settings/stream-timeout
func (h *SettingHandler) GetStreamTimeoutSettings(c *gin.Context) {
	settings, err := h.settingService.GetStreamTimeoutSettings(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, dto.StreamTimeoutSettings{
		Enabled:                settings.Enabled,
		Action:                 settings.Action,
		TempUnschedMinutes:     settings.TempUnschedMinutes,
		ThresholdCount:         settings.ThresholdCount,
		ThresholdWindowMinutes: settings.ThresholdWindowMinutes,
	})
}

// UpdateStreamTimeoutSettingsRequest 更新流超时配置请求
type UpdateStreamTimeoutSettingsRequest struct {
	Enabled                bool   `json:"enabled"`
	Action                 string `json:"action"`
	TempUnschedMinutes     int    `json:"temp_unsched_minutes"`
	ThresholdCount         int    `json:"threshold_count"`
	ThresholdWindowMinutes int    `json:"threshold_window_minutes"`
}

// UpdateStreamTimeoutSettings 更新流超时处理配置
// PUT /api/v1/admin/settings/stream-timeout
func (h *SettingHandler) UpdateStreamTimeoutSettings(c *gin.Context) {
	var req UpdateStreamTimeoutSettingsRequest
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}

	settings := &service.StreamTimeoutSettings{
		Enabled:                req.Enabled,
		Action:                 req.Action,
		TempUnschedMinutes:     req.TempUnschedMinutes,
		ThresholdCount:         req.ThresholdCount,
		ThresholdWindowMinutes: req.ThresholdWindowMinutes,
	}

	if err := h.settingService.SetStreamTimeoutSettings(c.Request.Context(), settings); err != nil {
		response.BadRequest(c, err.Error())
		return
	}

	// 重新获取设置返回
	updatedSettings, err := h.settingService.GetStreamTimeoutSettings(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}

	response.Success(c, dto.StreamTimeoutSettings{
		Enabled:                updatedSettings.Enabled,
		Action:                 updatedSettings.Action,
		TempUnschedMinutes:     updatedSettings.TempUnschedMinutes,
		ThresholdCount:         updatedSettings.ThresholdCount,
		ThresholdWindowMinutes: updatedSettings.ThresholdWindowMinutes,
	})
}
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								package admin
 								import (
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									"log"
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+									"strings"
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									"time"
-												fix: 加固 LinuxDo OAuth 登录安全与配置校验

											
										
										
											2026-01-09 19:32:06 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/config"
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/handler/dto"
-												refactor: 重命名 go module

											
										
										
											2025-12-24 21:07:21 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/pkg/response"
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/server/middleware"
-												refactor: 重命名 go module

											
										
										
											2025-12-24 21:07:21 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/service"
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
 									"github.com/gin-gonic/gin"
 								)
 								// SettingHandler 系统设置处理器
 								type SettingHandler struct {
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+									settingService   *service.SettingService
 									emailService     *service.EmailService
 									turnstileService *service.TurnstileService
-												feat(ops): 添加运维监控配置开关

- 在 .env.example 和 config.example.yaml 中添加 ops.enabled 配置项
- 默认值为 true，保持现有行为
- 当设置为 false 时，左侧栏隐藏运维监控菜单并禁用所有运维监控功能
- 修改后端 GetSettings API，让 ops_monitoring_enabled 受 config.ops.enabled 控制
- 数据清理和预聚合任务默认保持开启状态（通过运维监控设置对话框配置）

											
										
										
											2026-01-11 20:10:08 +08:00
+									opsService       *service.OpsService
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
 								// NewSettingHandler 创建系统设置处理器
-												feat(ops): 添加运维监控配置开关

- 在 .env.example 和 config.example.yaml 中添加 ops.enabled 配置项
- 默认值为 true，保持现有行为
- 当设置为 false 时，左侧栏隐藏运维监控菜单并禁用所有运维监控功能
- 修改后端 GetSettings API，让 ops_monitoring_enabled 受 config.ops.enabled 控制
- 数据清理和预聚合任务默认保持开启状态（通过运维监控设置对话框配置）

											
										
										
											2026-01-11 20:10:08 +08:00
+								func NewSettingHandler(settingService *service.SettingService, emailService *service.EmailService, turnstileService *service.TurnstileService, opsService *service.OpsService) *SettingHandler {
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									return &SettingHandler{
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+										settingService:   settingService,
 										emailService:     emailService,
 										turnstileService: turnstileService,
-												feat(ops): 添加运维监控配置开关

- 在 .env.example 和 config.example.yaml 中添加 ops.enabled 配置项
- 默认值为 true，保持现有行为
- 当设置为 false 时，左侧栏隐藏运维监控菜单并禁用所有运维监控功能
- 修改后端 GetSettings API，让 ops_monitoring_enabled 受 config.ops.enabled 控制
- 数据清理和预聚合任务默认保持开启状态（通过运维监控设置对话框配置）

											
										
										
											2026-01-11 20:10:08 +08:00
+										opsService:       opsService,
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
 								}
 								// GetSettings 获取所有系统设置
 								// GET /api/v1/admin/settings
 								func (h *SettingHandler) GetSettings(c *gin.Context) {
 									settings, err := h.settingService.GetAllSettings(c.Request.Context())
 									if err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										return
 									}
-												feat(ops): 添加运维监控配置开关

- 在 .env.example 和 config.example.yaml 中添加 ops.enabled 配置项
- 默认值为 true，保持现有行为
- 当设置为 false 时，左侧栏隐藏运维监控菜单并禁用所有运维监控功能
- 修改后端 GetSettings API，让 ops_monitoring_enabled 受 config.ops.enabled 控制
- 数据清理和预聚合任务默认保持开启状态（通过运维监控设置对话框配置）

											
										
										
											2026-01-11 20:10:08 +08:00
+									// Check if ops monitoring is enabled (respects config.ops.enabled)
 									opsEnabled := h.opsService != nil && h.opsService.IsMonitoringEnabled(c.Request.Context())
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									response.Success(c, dto.SystemSettings{
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										RegistrationEnabled:                  settings.RegistrationEnabled,
 										EmailVerifyEnabled:                   settings.EmailVerifyEnabled,
-												feat(promo-code): complete promo code feature implementation

- Add promo_code_enabled field to SystemSettings and PublicSettings DTOs
- Add promo code validation in registration flow
- Add admin settings UI for promo code configuration
- Add i18n translations for promo code feature

											
										
										
											2026-01-20 15:56:26 +08:00
+										PromoCodeEnabled:                     settings.PromoCodeEnabled,
-												feat(auth): 密码重置邮件队列化与限流优化

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

											
										
										
											2026-01-24 22:33:45 +08:00
+										PasswordResetEnabled:                 settings.PasswordResetEnabled,
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+										TotpEnabled:                          settings.TotpEnabled,
 										TotpEncryptionKeyConfigured:          h.settingService.IsTotpEncryptionKeyConfigured(),
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										SMTPHost:                             settings.SMTPHost,
 										SMTPPort:                             settings.SMTPPort,
 										SMTPUsername:                         settings.SMTPUsername,
 										SMTPPasswordConfigured:               settings.SMTPPasswordConfigured,
 										SMTPFrom:                             settings.SMTPFrom,
 										SMTPFromName:                         settings.SMTPFromName,
 										SMTPUseTLS:                           settings.SMTPUseTLS,
 										TurnstileEnabled:                     settings.TurnstileEnabled,
 										TurnstileSiteKey:                     settings.TurnstileSiteKey,
 										TurnstileSecretKeyConfigured:         settings.TurnstileSecretKeyConfigured,
 										LinuxDoConnectEnabled:                settings.LinuxDoConnectEnabled,
 										LinuxDoConnectClientID:               settings.LinuxDoConnectClientID,
 										LinuxDoConnectClientSecretConfigured: settings.LinuxDoConnectClientSecretConfigured,
 										LinuxDoConnectRedirectURL:            settings.LinuxDoConnectRedirectURL,
 										SiteName:                             settings.SiteName,
 										SiteLogo:                             settings.SiteLogo,
 										SiteSubtitle:                         settings.SiteSubtitle,
 										APIBaseURL:                           settings.APIBaseURL,
 										ContactInfo:                          settings.ContactInfo,
 										DocURL:                               settings.DocURL,
-												feat(settings): add home content customization and config injection

- Add home_content setting for custom homepage (HTML or iframe URL)
- Inject public settings into index.html to eliminate page flash
- Support ETag caching with automatic invalidation on settings update
- Add Vite plugin for dev mode settings injection
- Refactor HomeView to use appStore instead of local API calls

											
										
										
											2026-01-10 18:37:44 +08:00
+										HomeContent:                          settings.HomeContent,
-												feat: 添加隐藏CCS导入按钮的设置选项

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

											
										
										
											2026-01-19 19:25:16 +08:00
+										HideCcsImportButton:                  settings.HideCcsImportButton,
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										DefaultConcurrency:                   settings.DefaultConcurrency,
 										DefaultBalance:                       settings.DefaultBalance,
 										EnableModelFallback:                  settings.EnableModelFallback,
 										FallbackModelAnthropic:               settings.FallbackModelAnthropic,
 										FallbackModelOpenAI:                  settings.FallbackModelOpenAI,
 										FallbackModelGemini:                  settings.FallbackModelGemini,
 										FallbackModelAntigravity:             settings.FallbackModelAntigravity,
 										EnableIdentityPatch:                  settings.EnableIdentityPatch,
 										IdentityPatchPrompt:                  settings.IdentityPatchPrompt,
-												feat(ops): 添加运维监控配置开关

- 在 .env.example 和 config.example.yaml 中添加 ops.enabled 配置项
- 默认值为 true，保持现有行为
- 当设置为 false 时，左侧栏隐藏运维监控菜单并禁用所有运维监控功能
- 修改后端 GetSettings API，让 ops_monitoring_enabled 受 config.ops.enabled 控制
- 数据清理和预聚合任务默认保持开启状态（通过运维监控设置对话框配置）

											
										
										
											2026-01-11 20:10:08 +08:00
+										OpsMonitoringEnabled:                 opsEnabled && settings.OpsMonitoringEnabled,
-												merge: 正确合并 main 分支改动

合并 origin/main 最新改动，正确保留所有配置：
- Ops 运维监控配置和功能
- LinuxDo Connect OAuth 配置
- Update 在线更新配置
- 优惠码功能
- 其他 main 分支新功能

修复之前合并时错误删除 LinuxDo 和 Update 配置的问题。

											
										
										
											2026-01-11 11:11:37 +08:00
+										OpsRealtimeMonitoringEnabled:         settings.OpsRealtimeMonitoringEnabled,
 										OpsQueryModeDefault:                  settings.OpsQueryModeDefault,
 										OpsMetricsIntervalSeconds:            settings.OpsMetricsIntervalSeconds,
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									})
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
 								// UpdateSettingsRequest 更新设置请求
 								type UpdateSettingsRequest struct {
 									// 注册设置
-												feat(auth): 密码重置邮件队列化与限流优化

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

											
										
										
											2026-01-24 22:33:45 +08:00
+									RegistrationEnabled  bool `json:"registration_enabled"`
 									EmailVerifyEnabled   bool `json:"email_verify_enabled"`
 									PromoCodeEnabled     bool `json:"promo_code_enabled"`
 									PasswordResetEnabled bool `json:"password_reset_enabled"`
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+									TotpEnabled          bool `json:"totp_enabled"` // TOTP 双因素认证
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
 									// 邮件服务设置
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									SMTPHost     string `json:"smtp_host"`
 									SMTPPort     int    `json:"smtp_port"`
 									SMTPUsername string `json:"smtp_username"`
 									SMTPPassword string `json:"smtp_password"`
 									SMTPFrom     string `json:"smtp_from_email"`
 									SMTPFromName string `json:"smtp_from_name"`
 									SMTPUseTLS   bool   `json:"smtp_use_tls"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
 									// Cloudflare Turnstile 设置
 									TurnstileEnabled   bool   `json:"turnstile_enabled"`
 									TurnstileSiteKey   string `json:"turnstile_site_key"`
 									TurnstileSecretKey string `json:"turnstile_secret_key"`
-												fix: 修复PR合并后的功能回退和安全问题

											
										
										
											2026-01-12 09:14:32 +08:00
+									// LinuxDo Connect OAuth 登录
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+									LinuxDoConnectEnabled      bool   `json:"linuxdo_connect_enabled"`
 									LinuxDoConnectClientID     string `json:"linuxdo_connect_client_id"`
 									LinuxDoConnectClientSecret string `json:"linuxdo_connect_client_secret"`
 									LinuxDoConnectRedirectURL  string `json:"linuxdo_connect_redirect_url"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									// OEM设置
-												feat: 添加隐藏CCS导入按钮的设置选项

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

											
										
										
											2026-01-19 19:25:16 +08:00
+									SiteName            string `json:"site_name"`
 									SiteLogo            string `json:"site_logo"`
 									SiteSubtitle        string `json:"site_subtitle"`
 									APIBaseURL          string `json:"api_base_url"`
 									ContactInfo         string `json:"contact_info"`
 									DocURL              string `json:"doc_url"`
 									HomeContent         string `json:"home_content"`
 									HideCcsImportButton bool   `json:"hide_ccs_import_button"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
 									// 默认配置
 									DefaultConcurrency int     `json:"default_concurrency"`
 									DefaultBalance     float64 `json:"default_balance"`
-												chore: 更新依赖、配置和代码生成

主要更新：
- 更新 go.mod/go.sum 依赖
- 重新生成 Ent ORM 代码
- 更新 Wire 依赖注入配置
- 添加 docker-compose.override.yml 到 .gitignore
- 更新 README 文档（Simple Mode 说明和已知问题）
- 清理调试日志
- 其他代码优化和格式修复

											
										
										
											2026-01-03 06:37:08 -08:00
 									// Model fallback configuration
 									EnableModelFallback      bool   `json:"enable_model_fallback"`
 									FallbackModelAnthropic   string `json:"fallback_model_anthropic"`
 									FallbackModelOpenAI      string `json:"fallback_model_openai"`
 									FallbackModelGemini      string `json:"fallback_model_gemini"`
 									FallbackModelAntigravity string `json:"fallback_model_antigravity"`
-												fix: 修复代码审查报告中的4个关键问题

1. 资源管理冗余（ForwardGemini双重Close）
   - 错误分支读取body后立即关闭原始body，用内存副本重新包装
   - defer添加nil guard，避免重复关闭
   - fallback成功时显式关闭旧body，确保连接释放

2. Schema校验丢失（cleanJSONSchema移除字段无感知）
   - 新增schemaCleaningWarningsEnabled()支持环境变量控制
   - 实现warnSchemaKeyRemovedOnce()在非release模式下告警
   - 移除关键验证字段时输出warning，包含key和path

3. UI响应式风险（UsersView操作菜单硬编码定位）
   - 菜单改为先粗定位、渲染后测量、再clamp到视口内
   - 添加max-height + overflow-auto，超出时可滚动
   - 增强交互：点击其它位置/滚动/resize自动关闭或重新定位

4. 身份补丁干扰（TransformClaudeToGemini默认注入）
   - 新增TransformOptions + TransformClaudeToGeminiWithOptions
   - 系统设置新增enable_identity_patch、identity_patch_prompt
   - 完整打通handler/dto/service/frontend配置链路
   - 默认保持启用，向后兼容现有行为

测试：
- 后端单测全量通过：go test ./...
- 前端类型检查通过：npm run typecheck

											
										
										
											2026-01-04 22:49:40 +08:00
 									// Identity patch configuration (Claude -> Gemini)
 									EnableIdentityPatch bool   `json:"enable_identity_patch"`
 									IdentityPatchPrompt string `json:"identity_patch_prompt"`
-												feat(设置): 集成运维监控配置到系统设置

- 扩展 setting_handler 支持 ops 配置管理
- 扩展 setting_service 支持 ops 配置持久化
- 更新 settings_view 包含 ops 配置视图

											
										
										
											2026-01-09 20:57:32 +08:00
 									// Ops monitoring (vNext)
-												feat(运维监控): 增强监控功能和健康评分系统

后端改进：
- 新增健康评分计算服务（ops_health_score.go）
- 添加分布式锁支持（ops_advisory_lock.go）
- 优化指标采集和聚合逻辑
- 新增运维指标采集间隔配置（60-3600秒）
- 移除未使用的WebSocket查询token认证中间件
- 改进清理服务和告警评估逻辑

前端改进：
- 简化OpsDashboard组件结构
- 完善国际化文本（中英文）
- 新增运维监控相关API类型定义
- 添加运维指标采集间隔设置界面
- 优化错误详情模态框

测试：
- 添加健康评分单元测试
- 更新API契约测试

											
										
										
											2026-01-10 01:38:47 +08:00
+									OpsMonitoringEnabled         *bool   `json:"ops_monitoring_enabled"`
 									OpsRealtimeMonitoringEnabled *bool   `json:"ops_realtime_monitoring_enabled"`
-												feat(设置): 集成运维监控配置到系统设置

- 扩展 setting_handler 支持 ops 配置管理
- 扩展 setting_service 支持 ops 配置持久化
- 更新 settings_view 包含 ops 配置视图

											
										
										
											2026-01-09 20:57:32 +08:00
+									OpsQueryModeDefault          *string `json:"ops_query_mode_default"`
-												feat(运维监控): 增强监控功能和健康评分系统

后端改进：
- 新增健康评分计算服务（ops_health_score.go）
- 添加分布式锁支持（ops_advisory_lock.go）
- 优化指标采集和聚合逻辑
- 新增运维指标采集间隔配置（60-3600秒）
- 移除未使用的WebSocket查询token认证中间件
- 改进清理服务和告警评估逻辑

前端改进：
- 简化OpsDashboard组件结构
- 完善国际化文本（中英文）
- 新增运维监控相关API类型定义
- 添加运维指标采集间隔设置界面
- 优化错误详情模态框

测试：
- 添加健康评分单元测试
- 更新API契约测试

											
										
										
											2026-01-10 01:38:47 +08:00
+									OpsMetricsIntervalSeconds    *int    `json:"ops_metrics_interval_seconds"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
 								// UpdateSettings 更新系统设置
 								// PUT /api/v1/admin/settings
 								func (h *SettingHandler) UpdateSettings(c *gin.Context) {
 									var req UpdateSettingsRequest
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									previousSettings, err := h.settingService.GetAllSettings(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									// 验证参数
 									if req.DefaultConcurrency < 1 {
 										req.DefaultConcurrency = 1
 									}
 									if req.DefaultBalance < 0 {
 										req.DefaultBalance = 0
 									}
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									if req.SMTPPort <= 0 {
 										req.SMTPPort = 587
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+									// Turnstile 参数验证
 									if req.TurnstileEnabled {
 										// 检查必填字段
 										if req.TurnstileSiteKey == "" {
 											response.BadRequest(c, "Turnstile Site Key is required when enabled")
 											return
 										}
-												fix(后端): 修复 Turnstile Secret Key 留空保留当前值不生效的问题

前端显示"密钥已配置，留空以保留当前值"，但后端验证逻辑直接
要求该字段非空，导致修改其他设置时报错。

修复方案：
- 当 TurnstileSecretKey 为空时，检查 previousSettings 是否有已保存的值
- 如果有，使用已保存的值而非返回错误
- 同时移除重复获取 currentSettings 的代码，直接复用 previousSettings

🤖 Generated with [Claude Code](https://claude.ai/code)

Co-Authored-By: Claude <noreply@anthropic.com>

											
										
										
											2026-01-04 22:52:00 -06:00
+										// 如果未提供 secret key，使用已保存的值（留空保留当前值）
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+										if req.TurnstileSecretKey == "" {
-												fix(后端): 修复 Turnstile Secret Key 留空保留当前值不生效的问题

前端显示"密钥已配置，留空以保留当前值"，但后端验证逻辑直接
要求该字段非空，导致修改其他设置时报错。

修复方案：
- 当 TurnstileSecretKey 为空时，检查 previousSettings 是否有已保存的值
- 如果有，使用已保存的值而非返回错误
- 同时移除重复获取 currentSettings 的代码，直接复用 previousSettings

🤖 Generated with [Claude Code](https://claude.ai/code)

Co-Authored-By: Claude <noreply@anthropic.com>

											
										
										
											2026-01-04 22:52:00 -06:00
+											if previousSettings.TurnstileSecretKey == "" {
 												response.BadRequest(c, "Turnstile Secret Key is required when enabled")
 												return
 											}
 											req.TurnstileSecretKey = previousSettings.TurnstileSecretKey
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+										}
 										// 当 site_key 或 secret_key 任一变化时验证（避免配置错误导致无法登录）
-												fix(后端): 修复 Turnstile Secret Key 留空保留当前值不生效的问题

前端显示"密钥已配置，留空以保留当前值"，但后端验证逻辑直接
要求该字段非空，导致修改其他设置时报错。

修复方案：
- 当 TurnstileSecretKey 为空时，检查 previousSettings 是否有已保存的值
- 如果有，使用已保存的值而非返回错误
- 同时移除重复获取 currentSettings 的代码，直接复用 previousSettings

🤖 Generated with [Claude Code](https://claude.ai/code)

Co-Authored-By: Claude <noreply@anthropic.com>

											
										
										
											2026-01-04 22:52:00 -06:00
+										siteKeyChanged := previousSettings.TurnstileSiteKey != req.TurnstileSiteKey
 										secretKeyChanged := previousSettings.TurnstileSecretKey != req.TurnstileSecretKey
-												fix(settings): 保存 Turnstile 设置时验证参数有效性

											
										
										
											2025-12-31 21:05:33 +08:00
+										if siteKeyChanged || secretKeyChanged {
 											if err := h.turnstileService.ValidateSecretKey(c.Request.Context(), req.TurnstileSecretKey); err != nil {
 												response.ErrorFrom(c, err)
 												return
 											}
 										}
 									}
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+									// TOTP 双因素认证参数验证
 									// 只有手动配置了加密密钥才允许启用 TOTP 功能
 									if req.TotpEnabled && !previousSettings.TotpEnabled {
 										// 尝试启用 TOTP，检查加密密钥是否已手动配置
 										if !h.settingService.IsTotpEncryptionKeyConfigured() {
 											response.BadRequest(c, "Cannot enable TOTP: TOTP_ENCRYPTION_KEY environment variable must be configured first. Generate a key with 'openssl rand -hex 32' and set it in your environment.")
 											return
 										}
 									}
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+									// LinuxDo Connect 参数验证
 									if req.LinuxDoConnectEnabled {
 										req.LinuxDoConnectClientID = strings.TrimSpace(req.LinuxDoConnectClientID)
 										req.LinuxDoConnectClientSecret = strings.TrimSpace(req.LinuxDoConnectClientSecret)
 										req.LinuxDoConnectRedirectURL = strings.TrimSpace(req.LinuxDoConnectRedirectURL)
 										if req.LinuxDoConnectClientID == "" {
 											response.BadRequest(c, "LinuxDo Client ID is required when enabled")
 											return
 										}
 										if req.LinuxDoConnectRedirectURL == "" {
 											response.BadRequest(c, "LinuxDo Redirect URL is required when enabled")
 											return
 										}
-												fix: 加固 LinuxDo OAuth 登录安全与配置校验

											
										
										
											2026-01-09 19:32:06 +08:00
+										if err := config.ValidateAbsoluteHTTPURL(req.LinuxDoConnectRedirectURL); err != nil {
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+											response.BadRequest(c, "LinuxDo Redirect URL must be an absolute http(s) URL")
 											return
 										}
-												fix: 加固 LinuxDo OAuth 登录安全与配置校验

											
										
										
											2026-01-09 19:32:06 +08:00
+										// 如果未提供 client_secret，则保留现有值（如有）。
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										if req.LinuxDoConnectClientSecret == "" {
 											if previousSettings.LinuxDoConnectClientSecret == "" {
 												response.BadRequest(c, "LinuxDo Client Secret is required when enabled")
 												return
 											}
 											req.LinuxDoConnectClientSecret = previousSettings.LinuxDoConnectClientSecret
 										}
 									}
-												feat(运维监控): 增强监控功能和健康评分系统

后端改进：
- 新增健康评分计算服务（ops_health_score.go）
- 添加分布式锁支持（ops_advisory_lock.go）
- 优化指标采集和聚合逻辑
- 新增运维指标采集间隔配置（60-3600秒）
- 移除未使用的WebSocket查询token认证中间件
- 改进清理服务和告警评估逻辑

前端改进：
- 简化OpsDashboard组件结构
- 完善国际化文本（中英文）
- 新增运维监控相关API类型定义
- 添加运维指标采集间隔设置界面
- 优化错误详情模态框

测试：
- 添加健康评分单元测试
- 更新API契约测试

											
										
										
											2026-01-10 01:38:47 +08:00
+									// Ops metrics collector interval validation (seconds).
 									if req.OpsMetricsIntervalSeconds != nil {
 										v := *req.OpsMetricsIntervalSeconds
 										if v < 60 {
 											v = 60
 										}
 										if v > 3600 {
 											v = 3600
 										}
 										req.OpsMetricsIntervalSeconds = &v
 									}
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									settings := &service.SystemSettings{
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										RegistrationEnabled:        req.RegistrationEnabled,
 										EmailVerifyEnabled:         req.EmailVerifyEnabled,
-												feat(promo-code): complete promo code feature implementation

- Add promo_code_enabled field to SystemSettings and PublicSettings DTOs
- Add promo code validation in registration flow
- Add admin settings UI for promo code configuration
- Add i18n translations for promo code feature

											
										
										
											2026-01-20 15:56:26 +08:00
+										PromoCodeEnabled:           req.PromoCodeEnabled,
-												feat(auth): 密码重置邮件队列化与限流优化

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

											
										
										
											2026-01-24 22:33:45 +08:00
+										PasswordResetEnabled:       req.PasswordResetEnabled,
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+										TotpEnabled:                req.TotpEnabled,
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										SMTPHost:                   req.SMTPHost,
 										SMTPPort:                   req.SMTPPort,
 										SMTPUsername:               req.SMTPUsername,
 										SMTPPassword:               req.SMTPPassword,
 										SMTPFrom:                   req.SMTPFrom,
 										SMTPFromName:               req.SMTPFromName,
 										SMTPUseTLS:                 req.SMTPUseTLS,
 										TurnstileEnabled:           req.TurnstileEnabled,
 										TurnstileSiteKey:           req.TurnstileSiteKey,
 										TurnstileSecretKey:         req.TurnstileSecretKey,
 										LinuxDoConnectEnabled:      req.LinuxDoConnectEnabled,
 										LinuxDoConnectClientID:     req.LinuxDoConnectClientID,
 										LinuxDoConnectClientSecret: req.LinuxDoConnectClientSecret,
 										LinuxDoConnectRedirectURL:  req.LinuxDoConnectRedirectURL,
 										SiteName:                   req.SiteName,
 										SiteLogo:                   req.SiteLogo,
 										SiteSubtitle:               req.SiteSubtitle,
 										APIBaseURL:                 req.APIBaseURL,
 										ContactInfo:                req.ContactInfo,
 										DocURL:                     req.DocURL,
-												feat(settings): add home content customization and config injection

- Add home_content setting for custom homepage (HTML or iframe URL)
- Inject public settings into index.html to eliminate page flash
- Support ETag caching with automatic invalidation on settings update
- Add Vite plugin for dev mode settings injection
- Refactor HomeView to use appStore instead of local API calls

											
										
										
											2026-01-10 18:37:44 +08:00
+										HomeContent:                req.HomeContent,
-												feat: 添加隐藏CCS导入按钮的设置选项

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

											
										
										
											2026-01-19 19:25:16 +08:00
+										HideCcsImportButton:        req.HideCcsImportButton,
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										DefaultConcurrency:         req.DefaultConcurrency,
 										DefaultBalance:             req.DefaultBalance,
 										EnableModelFallback:        req.EnableModelFallback,
 										FallbackModelAnthropic:     req.FallbackModelAnthropic,
 										FallbackModelOpenAI:        req.FallbackModelOpenAI,
 										FallbackModelGemini:        req.FallbackModelGemini,
 										FallbackModelAntigravity:   req.FallbackModelAntigravity,
 										EnableIdentityPatch:        req.EnableIdentityPatch,
 										IdentityPatchPrompt:        req.IdentityPatchPrompt,
-												feat(设置): 集成运维监控配置到系统设置

- 扩展 setting_handler 支持 ops 配置管理
- 扩展 setting_service 支持 ops 配置持久化
- 更新 settings_view 包含 ops 配置视图

											
										
										
											2026-01-09 20:57:32 +08:00
+										OpsMonitoringEnabled: func() bool {
 											if req.OpsMonitoringEnabled != nil {
 												return *req.OpsMonitoringEnabled
 											}
 											return previousSettings.OpsMonitoringEnabled
 										}(),
 										OpsRealtimeMonitoringEnabled: func() bool {
 											if req.OpsRealtimeMonitoringEnabled != nil {
 												return *req.OpsRealtimeMonitoringEnabled
 											}
 											return previousSettings.OpsRealtimeMonitoringEnabled
 										}(),
 										OpsQueryModeDefault: func() string {
 											if req.OpsQueryModeDefault != nil {
 												return *req.OpsQueryModeDefault
 											}
 											return previousSettings.OpsQueryModeDefault
 										}(),
-												feat(运维监控): 增强监控功能和健康评分系统

后端改进：
- 新增健康评分计算服务（ops_health_score.go）
- 添加分布式锁支持（ops_advisory_lock.go）
- 优化指标采集和聚合逻辑
- 新增运维指标采集间隔配置（60-3600秒）
- 移除未使用的WebSocket查询token认证中间件
- 改进清理服务和告警评估逻辑

前端改进：
- 简化OpsDashboard组件结构
- 完善国际化文本（中英文）
- 新增运维监控相关API类型定义
- 添加运维指标采集间隔设置界面
- 优化错误详情模态框

测试：
- 添加健康评分单元测试
- 更新API契约测试

											
										
										
											2026-01-10 01:38:47 +08:00
+										OpsMetricsIntervalSeconds: func() int {
 											if req.OpsMetricsIntervalSeconds != nil {
 												return *req.OpsMetricsIntervalSeconds
 											}
 											return previousSettings.OpsMetricsIntervalSeconds
 										}(),
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
 									if err := h.settingService.UpdateSettings(c.Request.Context(), settings); err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										return
 									}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									h.auditSettingsUpdate(c, previousSettings, settings, req)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									// 重新获取设置返回
 									updatedSettings, err := h.settingService.GetAllSettings(c.Request.Context())
 									if err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										return
 									}
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									response.Success(c, dto.SystemSettings{
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										RegistrationEnabled:                  updatedSettings.RegistrationEnabled,
 										EmailVerifyEnabled:                   updatedSettings.EmailVerifyEnabled,
-												feat(promo-code): complete promo code feature implementation

- Add promo_code_enabled field to SystemSettings and PublicSettings DTOs
- Add promo code validation in registration flow
- Add admin settings UI for promo code configuration
- Add i18n translations for promo code feature

											
										
										
											2026-01-20 15:56:26 +08:00
+										PromoCodeEnabled:                     updatedSettings.PromoCodeEnabled,
-												feat(auth): 密码重置邮件队列化与限流优化

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

											
										
										
											2026-01-24 22:33:45 +08:00
+										PasswordResetEnabled:                 updatedSettings.PasswordResetEnabled,
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+										TotpEnabled:                          updatedSettings.TotpEnabled,
 										TotpEncryptionKeyConfigured:          h.settingService.IsTotpEncryptionKeyConfigured(),
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										SMTPHost:                             updatedSettings.SMTPHost,
 										SMTPPort:                             updatedSettings.SMTPPort,
 										SMTPUsername:                         updatedSettings.SMTPUsername,
 										SMTPPasswordConfigured:               updatedSettings.SMTPPasswordConfigured,
 										SMTPFrom:                             updatedSettings.SMTPFrom,
 										SMTPFromName:                         updatedSettings.SMTPFromName,
 										SMTPUseTLS:                           updatedSettings.SMTPUseTLS,
 										TurnstileEnabled:                     updatedSettings.TurnstileEnabled,
 										TurnstileSiteKey:                     updatedSettings.TurnstileSiteKey,
 										TurnstileSecretKeyConfigured:         updatedSettings.TurnstileSecretKeyConfigured,
 										LinuxDoConnectEnabled:                updatedSettings.LinuxDoConnectEnabled,
 										LinuxDoConnectClientID:               updatedSettings.LinuxDoConnectClientID,
 										LinuxDoConnectClientSecretConfigured: updatedSettings.LinuxDoConnectClientSecretConfigured,
 										LinuxDoConnectRedirectURL:            updatedSettings.LinuxDoConnectRedirectURL,
 										SiteName:                             updatedSettings.SiteName,
 										SiteLogo:                             updatedSettings.SiteLogo,
 										SiteSubtitle:                         updatedSettings.SiteSubtitle,
 										APIBaseURL:                           updatedSettings.APIBaseURL,
 										ContactInfo:                          updatedSettings.ContactInfo,
 										DocURL:                               updatedSettings.DocURL,
-												feat(settings): add home content customization and config injection

- Add home_content setting for custom homepage (HTML or iframe URL)
- Inject public settings into index.html to eliminate page flash
- Support ETag caching with automatic invalidation on settings update
- Add Vite plugin for dev mode settings injection
- Refactor HomeView to use appStore instead of local API calls

											
										
										
											2026-01-10 18:37:44 +08:00
+										HomeContent:                          updatedSettings.HomeContent,
-												feat: 添加隐藏CCS导入按钮的设置选项

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

											
										
										
											2026-01-19 19:25:16 +08:00
+										HideCcsImportButton:                  updatedSettings.HideCcsImportButton,
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+										DefaultConcurrency:                   updatedSettings.DefaultConcurrency,
 										DefaultBalance:                       updatedSettings.DefaultBalance,
 										EnableModelFallback:                  updatedSettings.EnableModelFallback,
 										FallbackModelAnthropic:               updatedSettings.FallbackModelAnthropic,
 										FallbackModelOpenAI:                  updatedSettings.FallbackModelOpenAI,
 										FallbackModelGemini:                  updatedSettings.FallbackModelGemini,
 										FallbackModelAntigravity:             updatedSettings.FallbackModelAntigravity,
 										EnableIdentityPatch:                  updatedSettings.EnableIdentityPatch,
 										IdentityPatchPrompt:                  updatedSettings.IdentityPatchPrompt,
-												merge: 正确合并 main 分支改动

合并 origin/main 最新改动，正确保留所有配置：
- Ops 运维监控配置和功能
- LinuxDo Connect OAuth 配置
- Update 在线更新配置
- 优惠码功能
- 其他 main 分支新功能

修复之前合并时错误删除 LinuxDo 和 Update 配置的问题。

											
										
										
											2026-01-11 11:11:37 +08:00
+										OpsMonitoringEnabled:                 updatedSettings.OpsMonitoringEnabled,
 										OpsRealtimeMonitoringEnabled:         updatedSettings.OpsRealtimeMonitoringEnabled,
 										OpsQueryModeDefault:                  updatedSettings.OpsQueryModeDefault,
 										OpsMetricsIntervalSeconds:            updatedSettings.OpsMetricsIntervalSeconds,
-												refactor: 调整项目结构为单向依赖

											
										
										
											2025-12-26 15:40:24 +08:00
+									})
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+								func (h *SettingHandler) auditSettingsUpdate(c *gin.Context, before *service.SystemSettings, after *service.SystemSettings, req UpdateSettingsRequest) {
 									if before == nil || after == nil {
 										return
 									}
 									changed := diffSettings(before, after, req)
 									if len(changed) == 0 {
 										return
 									}
 									subject, _ := middleware.GetAuthSubjectFromContext(c)
 									role, _ := middleware.GetUserRoleFromContext(c)
 									log.Printf("AUDIT: settings updated at=%s user_id=%d role=%s changed=%v",
 										time.Now().UTC().Format(time.RFC3339),
 										subject.UserID,
 										role,
 										changed,
 									)
 								}
 								func diffSettings(before *service.SystemSettings, after *service.SystemSettings, req UpdateSettingsRequest) []string {
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									changed := make([]string, 0, 20)
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									if before.RegistrationEnabled != after.RegistrationEnabled {
 										changed = append(changed, "registration_enabled")
 									}
 									if before.EmailVerifyEnabled != after.EmailVerifyEnabled {
 										changed = append(changed, "email_verify_enabled")
 									}
-												feat(auth): 密码重置邮件队列化与限流优化

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

											
										
										
											2026-01-24 22:33:45 +08:00
+									if before.PasswordResetEnabled != after.PasswordResetEnabled {
 										changed = append(changed, "password_reset_enabled")
 									}
-												feat(auth): 实现 TOTP 双因素认证功能

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

											
										
										
											2026-01-26 08:45:43 +08:00
+									if before.TotpEnabled != after.TotpEnabled {
 										changed = append(changed, "totp_enabled")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPHost != after.SMTPHost {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_host")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPPort != after.SMTPPort {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_port")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPUsername != after.SMTPUsername {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_username")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if req.SMTPPassword != "" {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_password")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPFrom != after.SMTPFrom {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_from_email")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPFromName != after.SMTPFromName {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_from_name")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.SMTPUseTLS != after.SMTPUseTLS {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "smtp_use_tls")
 									}
 									if before.TurnstileEnabled != after.TurnstileEnabled {
 										changed = append(changed, "turnstile_enabled")
 									}
 									if before.TurnstileSiteKey != after.TurnstileSiteKey {
 										changed = append(changed, "turnstile_site_key")
 									}
 									if req.TurnstileSecretKey != "" {
 										changed = append(changed, "turnstile_secret_key")
 									}
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+									if before.LinuxDoConnectEnabled != after.LinuxDoConnectEnabled {
 										changed = append(changed, "linuxdo_connect_enabled")
 									}
 									if before.LinuxDoConnectClientID != after.LinuxDoConnectClientID {
 										changed = append(changed, "linuxdo_connect_client_id")
 									}
 									if req.LinuxDoConnectClientSecret != "" {
 										changed = append(changed, "linuxdo_connect_client_secret")
 									}
 									if before.LinuxDoConnectRedirectURL != after.LinuxDoConnectRedirectURL {
 										changed = append(changed, "linuxdo_connect_redirect_url")
 									}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									if before.SiteName != after.SiteName {
 										changed = append(changed, "site_name")
 									}
 									if before.SiteLogo != after.SiteLogo {
 										changed = append(changed, "site_logo")
 									}
 									if before.SiteSubtitle != after.SiteSubtitle {
 										changed = append(changed, "site_subtitle")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.APIBaseURL != after.APIBaseURL {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "api_base_url")
 									}
 									if before.ContactInfo != after.ContactInfo {
 										changed = append(changed, "contact_info")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.DocURL != after.DocURL {
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+										changed = append(changed, "doc_url")
 									}
-												feat(settings): add home content customization and config injection

- Add home_content setting for custom homepage (HTML or iframe URL)
- Inject public settings into index.html to eliminate page flash
- Support ETag caching with automatic invalidation on settings update
- Add Vite plugin for dev mode settings injection
- Refactor HomeView to use appStore instead of local API calls

											
										
										
											2026-01-10 18:37:44 +08:00
+									if before.HomeContent != after.HomeContent {
 										changed = append(changed, "home_content")
 									}
-												feat: 添加隐藏CCS导入按钮的设置选项

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

											
										
										
											2026-01-19 19:25:16 +08:00
+									if before.HideCcsImportButton != after.HideCcsImportButton {
 										changed = append(changed, "hide_ccs_import_button")
 									}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									if before.DefaultConcurrency != after.DefaultConcurrency {
 										changed = append(changed, "default_concurrency")
 									}
 									if before.DefaultBalance != after.DefaultBalance {
 										changed = append(changed, "default_balance")
 									}
-												Merge branch 'main' of https://github.com/mt21625457/aicodex2api

											
										
										
											2026-01-04 21:06:12 +08:00
+									if before.EnableModelFallback != after.EnableModelFallback {
 										changed = append(changed, "enable_model_fallback")
 									}
 									if before.FallbackModelAnthropic != after.FallbackModelAnthropic {
 										changed = append(changed, "fallback_model_anthropic")
 									}
 									if before.FallbackModelOpenAI != after.FallbackModelOpenAI {
 										changed = append(changed, "fallback_model_openai")
 									}
 									if before.FallbackModelGemini != after.FallbackModelGemini {
 										changed = append(changed, "fallback_model_gemini")
 									}
 									if before.FallbackModelAntigravity != after.FallbackModelAntigravity {
 										changed = append(changed, "fallback_model_antigravity")
 									}
-												refactor(auth): 将 Linux DO OAuth 配置迁移到系统设置

- 将 LinuxDo Connect 配置从环境变量迁移到数据库持久化
- 在管理后台系统设置中添加 LinuxDo OAuth 配置项
- 简化部署流程，无需修改 docker-compose.override.yml

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

											
										
										
											2026-01-09 13:52:27 +08:00
+									if before.EnableIdentityPatch != after.EnableIdentityPatch {
 										changed = append(changed, "enable_identity_patch")
 									}
 									if before.IdentityPatchPrompt != after.IdentityPatchPrompt {
 										changed = append(changed, "identity_patch_prompt")
 									}
-												feat(设置): 集成运维监控配置到系统设置

- 扩展 setting_handler 支持 ops 配置管理
- 扩展 setting_service 支持 ops 配置持久化
- 更新 settings_view 包含 ops 配置视图

											
										
										
											2026-01-09 20:57:32 +08:00
+									if before.OpsMonitoringEnabled != after.OpsMonitoringEnabled {
 										changed = append(changed, "ops_monitoring_enabled")
 									}
 									if before.OpsRealtimeMonitoringEnabled != after.OpsRealtimeMonitoringEnabled {
 										changed = append(changed, "ops_realtime_monitoring_enabled")
 									}
 									if before.OpsQueryModeDefault != after.OpsQueryModeDefault {
 										changed = append(changed, "ops_query_mode_default")
 									}
-												feat(运维监控): 增强监控功能和健康评分系统

后端改进：
- 新增健康评分计算服务（ops_health_score.go）
- 添加分布式锁支持（ops_advisory_lock.go）
- 优化指标采集和聚合逻辑
- 新增运维指标采集间隔配置（60-3600秒）
- 移除未使用的WebSocket查询token认证中间件
- 改进清理服务和告警评估逻辑

前端改进：
- 简化OpsDashboard组件结构
- 完善国际化文本（中英文）
- 新增运维监控相关API类型定义
- 添加运维指标采集间隔设置界面
- 优化错误详情模态框

测试：
- 添加健康评分单元测试
- 更新API契约测试

											
										
										
											2026-01-10 01:38:47 +08:00
+									if before.OpsMetricsIntervalSeconds != after.OpsMetricsIntervalSeconds {
 										changed = append(changed, "ops_metrics_interval_seconds")
 									}
-												feat(安全): 强化安全策略与配置校验

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

											
										
										
											2026-01-02 17:40:57 +08:00
+									return changed
 								}
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+								// TestSMTPRequest 测试SMTP连接请求
 								type TestSMTPRequest struct {
 									SMTPHost     string `json:"smtp_host" binding:"required"`
 									SMTPPort     int    `json:"smtp_port"`
 									SMTPUsername string `json:"smtp_username"`
 									SMTPPassword string `json:"smtp_password"`
 									SMTPUseTLS   bool   `json:"smtp_use_tls"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								// TestSMTPConnection 测试SMTP连接
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								// POST /api/v1/admin/settings/test-smtp
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								func (h *SettingHandler) TestSMTPConnection(c *gin.Context) {
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									var req TestSMTPRequest
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									if req.SMTPPort <= 0 {
 										req.SMTPPort = 587
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
 									// 如果未提供密码，从数据库获取已保存的密码
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									password := req.SMTPPassword
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									if password == "" {
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+										savedConfig, err := h.emailService.GetSMTPConfig(c.Request.Context())
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										if err == nil && savedConfig != nil {
 											password = savedConfig.Password
 										}
 									}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+									config := &service.SMTPConfig{
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+										Host:     req.SMTPHost,
 										Port:     req.SMTPPort,
 										Username: req.SMTPUsername,
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										Password: password,
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+										UseTLS:   req.SMTPUseTLS,
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+									err := h.emailService.TestSMTPConnectionWithConfig(config)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									if err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										return
 									}
 									response.Success(c, gin.H{"message": "SMTP connection successful"})
 								}
 								// SendTestEmailRequest 发送测试邮件请求
 								type SendTestEmailRequest struct {
 									Email        string `json:"email" binding:"required,email"`
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									SMTPHost     string `json:"smtp_host" binding:"required"`
 									SMTPPort     int    `json:"smtp_port"`
 									SMTPUsername string `json:"smtp_username"`
 									SMTPPassword string `json:"smtp_password"`
 									SMTPFrom     string `json:"smtp_from_email"`
 									SMTPFromName string `json:"smtp_from_name"`
 									SMTPUseTLS   bool   `json:"smtp_use_tls"`
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+								}
 								// SendTestEmail 发送测试邮件
 								// POST /api/v1/admin/settings/send-test-email
 								func (h *SettingHandler) SendTestEmail(c *gin.Context) {
 									var req SendTestEmailRequest
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									if req.SMTPPort <= 0 {
 										req.SMTPPort = 587
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
 									// 如果未提供密码，从数据库获取已保存的密码
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+									password := req.SMTPPassword
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									if password == "" {
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+										savedConfig, err := h.emailService.GetSMTPConfig(c.Request.Context())
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										if err == nil && savedConfig != nil {
 											password = savedConfig.Password
 										}
 									}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+									config := &service.SMTPConfig{
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+										Host:     req.SMTPHost,
 										Port:     req.SMTPPort,
 										Username: req.SMTPUsername,
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										Password: password,
-												refactor(settings): 规范化缩写词命名并优化前端帮助界面

- 后端：将 Smtp/Api/Doc 字段改为 SMTP/API/Doc（遵循 Go 命名规范）
- 前端：添加 Gemini 帮助按钮，简化配额说明展示

											
										
										
											2026-01-04 17:02:38 +08:00
+										From:     req.SMTPFrom,
 										FromName: req.SMTPFromName,
 										UseTLS:   req.SMTPUseTLS,
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+									}
 									siteName := h.settingService.GetSiteName(c.Request.Context())
 									subject := "[" + siteName + "] Test Email"
 									body := `
 								<!DOCTYPE html>
 								<html>
 								<head>
 								    <meta charset="UTF-8">
 								    <style>
 								        body { font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, sans-serif; background-color: #f5f5f5; margin: 0; padding: 20px; }
 								        .container { max-width: 600px; margin: 0 auto; background-color: #ffffff; border-radius: 8px; overflow: hidden; box-shadow: 0 2px 8px rgba(0,0,0,0.1); }
 								        .header { background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); color: white; padding: 30px; text-align: center; }
 								        .content { padding: 40px 30px; text-align: center; }
 								        .success { color: #10b981; font-size: 48px; margin-bottom: 20px; }
 								        .footer { background-color: #f8f9fa; padding: 20px; text-align: center; color: #999; font-size: 12px; }
 								    </style>
 								</head>
 								<body>
 								    <div class="container">
 								        <div class="header">
 								            <h1>` + siteName + `</h1>
 								        </div>
 								        <div class="content">
 								            <div class="success">✓</div>
 								            <h2>Email Configuration Successful!</h2>
 								            <p>This is a test email to verify your SMTP settings are working correctly.</p>
 								        </div>
 								        <div class="footer">
 								            <p>This is an automated test message.</p>
 								        </div>
 								    </div>
 								</body>
 								</html>
 								`
 									if err := h.emailService.SendEmailWithConfig(config, req.Email, subject, body); err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												First commit

											
										
										
											2025-12-18 13:50:39 +08:00
+										return
 									}
 									response.Success(c, gin.H{"message": "Test email sent successfully"})
 								}
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								// GetAdminAPIKey 获取管理员 API Key 状态
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+								// GET /api/v1/admin/settings/admin-api-key
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								func (h *SettingHandler) GetAdminAPIKey(c *gin.Context) {
 									maskedKey, exists, err := h.settingService.GetAdminAPIKeyStatus(c.Request.Context())
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+									if err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+										return
 									}
 									response.Success(c, gin.H{
 										"exists":     exists,
 										"masked_key": maskedKey,
 									})
 								}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								// RegenerateAdminAPIKey 生成/重新生成管理员 API Key
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+								// POST /api/v1/admin/settings/admin-api-key/regenerate
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								func (h *SettingHandler) RegenerateAdminAPIKey(c *gin.Context) {
 									key, err := h.settingService.GenerateAdminAPIKey(c.Request.Context())
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+									if err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+										return
 									}
 									response.Success(c, gin.H{
 										"key": key, // 完整 key 只在生成时返回一次
 									})
 								}
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								// DeleteAdminAPIKey 删除管理员 API Key
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+								// DELETE /api/v1/admin/settings/admin-api-key
-												fix(lint): 修复所有 Go 命名规范问题

- 全局替换 ApiKey → APIKey（类型、字段、方法、变量）
- 修复所有 initialism 命名（API, SMTP, HTML, URL 等）
- 添加所有缺失的包注释
- 修复导出符号的注释格式

主要修改：
- ApiKey → APIKey（所有出现的地方）
- ApiKeyID → APIKeyID
- ApiKeyIDs → APIKeyIDs
- TestSmtpConnection → TestSMTPConnection
- HtmlURL → HTMLURL
- 添加 20+ 个包注释
- 修复 10+ 个导出符号注释格式

验证结果：
- ✓ golangci-lint: 0 issues
- ✓ 单元测试: 通过
- ✓ 集成测试: 通过

											
										
										
											2026-01-04 19:27:53 +08:00
+								func (h *SettingHandler) DeleteAdminAPIKey(c *gin.Context) {
 									if err := h.settingService.DeleteAdminAPIKey(c.Request.Context()); err != nil {
-												refactor: 自定义业务错误

											
										
										
											2025-12-25 20:52:47 +08:00
+										response.ErrorFrom(c, err)
-												feat: 支持创建管理员APIKEY

											
										
										
											2025-12-20 15:11:43 +08:00
+										return
 									}
 									response.Success(c, gin.H{"message": "Admin API key deleted"})
 								}
-												feat(gateway): 添加流超时处理机制

- 添加 StreamTimeoutSettings 配置结构体和系统设置
- 实现 TimeoutCounterCache Redis 计数器用于累计超时次数
- 在 RateLimitService 添加 HandleStreamTimeout 方法
- 在 gateway_service、openai_gateway_service、antigravity_gateway_service 中调用超时处理
- 添加后端 API 端点 GET/PUT /admin/settings/stream-timeout
- 添加前端配置界面到系统设置页面
- 支持配置：启用开关、超时阈值、处理方式、暂停时长、触发阈值、阈值窗口

默认配置：
- 启用：true
- 超时阈值：60秒
- 处理方式：临时不可调度
- 暂停时长：5分钟
- 触发阈值：3次
- 阈值窗口：10分钟

											
										
										
											2026-01-11 21:54:52 -08:00
 								// GetStreamTimeoutSettings 获取流超时处理配置
 								// GET /api/v1/admin/settings/stream-timeout
 								func (h *SettingHandler) GetStreamTimeoutSettings(c *gin.Context) {
 									settings, err := h.settingService.GetStreamTimeoutSettings(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, dto.StreamTimeoutSettings{
 										Enabled:                settings.Enabled,
 										Action:                 settings.Action,
 										TempUnschedMinutes:     settings.TempUnschedMinutes,
 										ThresholdCount:         settings.ThresholdCount,
 										ThresholdWindowMinutes: settings.ThresholdWindowMinutes,
 									})
 								}
 								// UpdateStreamTimeoutSettingsRequest 更新流超时配置请求
 								type UpdateStreamTimeoutSettingsRequest struct {
 									Enabled                bool   `json:"enabled"`
 									Action                 string `json:"action"`
 									TempUnschedMinutes     int    `json:"temp_unsched_minutes"`
 									ThresholdCount         int    `json:"threshold_count"`
 									ThresholdWindowMinutes int    `json:"threshold_window_minutes"`
 								}
 								// UpdateStreamTimeoutSettings 更新流超时处理配置
 								// PUT /api/v1/admin/settings/stream-timeout
 								func (h *SettingHandler) UpdateStreamTimeoutSettings(c *gin.Context) {
 									var req UpdateStreamTimeoutSettingsRequest
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
 									settings := &service.StreamTimeoutSettings{
 										Enabled:                req.Enabled,
 										Action:                 req.Action,
 										TempUnschedMinutes:     req.TempUnschedMinutes,
 										ThresholdCount:         req.ThresholdCount,
 										ThresholdWindowMinutes: req.ThresholdWindowMinutes,
 									}
 									if err := h.settingService.SetStreamTimeoutSettings(c.Request.Context(), settings); err != nil {
 										response.BadRequest(c, err.Error())
 										return
 									}
 									// 重新获取设置返回
 									updatedSettings, err := h.settingService.GetStreamTimeoutSettings(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, dto.StreamTimeoutSettings{
 										Enabled:                updatedSettings.Enabled,
 										Action:                 updatedSettings.Action,
 										TempUnschedMinutes:     updatedSettings.TempUnschedMinutes,
 										ThresholdCount:         updatedSettings.ThresholdCount,
 										ThresholdWindowMinutes: updatedSettings.ThresholdWindowMinutes,
 									})
 								}