sub2apipay

Author	SHA1	Message	Date
erio	f50a180ec4	fix: 微信支付回调验签 PEM 格式自动补全，Stripe webhook 失败重试 - wxpay client: 添加 formatPublicKey() 自动包裹 PEM 头尾，修复裸 base64 公钥导致的 DECODER routines::unsupported 错误 - stripe webhook: 处理失败时返回 500 让 Stripe 重试 - 修正支付宝测试用例与实际代码对齐 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-07 04:27:38 +08:00
erio	ac0772b0f4	fix: API 路由安全加固与架构优化 — 认证、错误处理、Registry 统一 - /api/user 添加 token 认证，防止用户枚举 - Admin token 支持 Authorization header - /api/orders/my 区分认证失败和服务端错误 - Admin orders userId/date 参数校验 - Decimal 字段统一 Number() 转换 - 抽取 handleApiError/extractHeaders 工具函数 - Webhook 路由改用 Registry 获取 Provider - PaymentRegistry lazy init 自动初始化 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-07 04:15:54 +08:00
erio	7627066549	fix: 官方支付未配置时 notify 路由静默返回成功，避免错误日志 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-07 00:07:56 +08:00
erio	387bc96fc9	feat: 创建订单必须通过 token 认证，移除 user_id 参数 - POST /api/orders 改为通过 token 解析用户身份，移除 user_id - 前端不再从 URL 读取 user_id，完全依赖 token - 前端提交前检查 pending 订单数量，超过 3 个禁止提交并提示 - 后端 createOrder 保留 MAX_PENDING_ORDERS=3 的服务端校验 - PaymentForm 增加 pendingBlocked 状态提示和按钮禁用 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 23:05:12 +08:00
erio	e846cc1cce	feat: sublabel 智能显示 — 仅同名渠道冲突时自动标记 - 默认去掉所有渠道的 sublabel - 当多个启用渠道有相同显示名（如支付宝+支付宝）时，自动用 provider 名标记区分 - 用户手动配置的 PAYMENT_SUBLABEL_* 优先级最高 - 管理后台 getPaymentTypeLabel 自动检测同名并区分 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 22:58:10 +08:00
erio	7cab333213	merge: 合并 wxpay_direct 微信支付直连分支解决冲突：保留 main 的常量化/provider 字段/ENABLED_PAYMENT_TYPES 移除，合并 worktree 的微信支付直连实现、notifyUrl/returnUrl 传递、签名验证优化。 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 19:00:16 +08:00
erio	d46793f072	feat: 支付宝直连 H5 端使用 wap.pay 唤起支付宝 APP 前端传递 is_mobile 参数，AlipayProvider 根据设备类型选择： - PC: alipay.trade.page.pay (FAST_INSTANT_TRADE_PAY) - H5: alipay.trade.wap.pay (QUICK_WAP_WAY) Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 18:04:11 +08:00
erio	94d25ddc31	refactor: 移除 ENABLED_PAYMENT_TYPES，支付类型由 PAYMENT_PROVIDERS 自动推导 PAYMENT_PROVIDERS 配置提供商后，各 provider 的 supportedTypes 自动注册为可用支付类型，无需再手动配置 ENABLED_PAYMENT_TYPES。 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 17:53:47 +08:00
erio	254ead1908	refactor: 常量化订单状态 + 支付渠道/提供商分离显示 + H5自动跳转 - 新增 src/lib/constants.ts，集中管理 ORDER_STATUS / PAYMENT_TYPE / PAYMENT_PREFIX 等常量 - 后端 service/status/timeout/limits 全量替换魔法字符串为 ORDER_STATUS.* - PaymentTypeMeta 新增 provider 字段，分离 sublabel（选择器展示）与 provider（提供商名称） - getPaymentDisplayInfo() 返回 { channel, provider } 用于用户端/管理端展示 - 支持通过 PAYMENT_SUBLABEL_* 环境变量覆盖默认 sublabel - PaymentQRCode: H5 支付自动跳转（含易支付微信 weixin:// scheme 兜底） - 订单列表/详情页：显示可读的渠道名+提供商，不再暴露内部标识符 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-06 17:34:42 +08:00
erio	f53aa9e14c	feat: 支持官方支付宝与易支付支付宝同时展示 - PaymentType 改为 string 类型，支持复合 key（如 alipay_direct） - 官方支付宝注册为 alipay_direct，易支付保持 alipay/wxpay - 前端按 PAYMENT_TYPE_META 展示标签区分（官方直连/易支付） - 管理后台显示统一改为 getPaymentTypeLabel 通用映射 - 修复 admin/OrderTable 中 wechat 拼写错误	2026-03-06 15:33:22 +08:00
erio	b0f1daf469	fix: 修复微信支付 Native/H5 判断逻辑，改为前端设备检测驱动 - 修复 clientIp 始终存在导致永远走 H5 的 bug，改用 isMobile 判断 - 前端通过 detectDeviceIsMobile() 传 is_mobile 给后端 - ENABLED_PAYMENT_TYPES 默认改为空，必须显式配置才启用 - 补充 .env.example 配置说明	2026-03-06 14:04:51 +08:00
erio	937f54dec2	feat: 集成微信支付直连（Native + H5）及金融级安全修复 - 新增 wxpay provider（wechatpay-node-v3 SDK），支持 Native 扫码和 H5 跳转 - 新增 /api/wxpay/notify 回调路由，AES-256-GCM 解密 + RSA 签名验证 - 修复 confirmPayment count=0 静默成功、充值失败返回 true 等 P0 问题 - 修复 notifyUrl 硬编码 easypay、回调金额覆盖订单金额等 P1 问题 - 手续费计算改用 Prisma.Decimal 精确运算，消除浮点误差 - 支付宝 provider 移除冗余 paramsForVerify，fetch 添加超时 - 补充 .env.example 配置文档和 CLAUDE.md 支付渠道说明	2026-03-06 13:57:52 +08:00
erio	0a35ba9002	style: 全量 prettier 格式化	2026-03-05 23:10:44 +08:00
miwei	f1e3fd35ef	fix: 数据看板时区统一为 Asia/Shanghai + 订单列表支付方式显示修复 - dashboard API 日期计算和 SQL GROUP BY 统一使用东八区，避免 UTC 服务器上"今日"统计偏移 - OrderTable 支付方式显示支持 stripe/wechat/alipay 三种，修复 stripe 误显为微信支付 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-05 10:13:57 +08:00
erio	55756744a1	feat: 集成支付宝电脑网站支付（alipay direct） - 新增 src/lib/alipay/ 模块：RSA2 签名、网关客户端、AlipayProvider - 新增 /api/alipay/notify 异步通知回调路由 - config.ts 添加 ALIPAY_* 环境变量 - payment/index.ts 注册 alipaydirect 提供商 - 27 个单元测试全部通过	2026-03-05 01:48:10 +08:00
miwei	3a9a32e2c2	feat: 管理后台数据看板新增 /admin/dashboard 页面，提供充值订单统计与分析： - 汇总统计卡片（今日/累计充值金额、订单数、成功率、平均充值） - 每日充值趋势折线图（recharts，支持 7/30/90 天切换） - 充值排行榜（Top 10 用户） - 支付方式分布（水平条形图） - 与 /admin 订单管理页面互相导航 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-04 17:06:27 +08:00
miwei	964a2aa6d9	feat: Stripe 改用 PaymentIntent + Payment Element，iframe 嵌入支付宝弹窗支付 Stripe 集成重构: - 从 Checkout Session 改为 PaymentIntent + Payment Element 模式 - 前端内联渲染 Stripe 支付表单，支持信用卡、支付宝等多种方式 - Webhook 事件改为 payment_intent.succeeded / payment_intent.payment_failed - provider/test 同步更新 iframe 嵌入模式 (ui_mode=embedded): - 支付宝等需跳转的方式改为弹出新窗口处理，避免 X-Frame-Options 冲破 iframe - 信用卡等无跳转方式仍在 iframe 内联完成 - 弹窗使用 confirmAlipayPayment 直接跳转，无需二次操作 - result 页面检测弹窗模式，支付成功后自动关闭窗口 Bug 修复: - 修复配置加载前支付方式闪烁（初始值改为空数组 + loading） - 修复桌面端 PaymentForm 缺少 methodLimits prop - 修复 stripeError 隐藏表单导致无法重试 - 快捷金额增加 1000/2000 选项，过滤低于 minAmount 的选项 Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>	2026-03-04 11:11:46 +08:00
erio	42da18484c	feat: 管理后台订单列表展示用户备注，用户信息摊平显示 - 新增 userNotes 字段，创建订单时从 Sub2API 读取用户 notes 保存 - 管理后台订单列表将用户名、邮箱、备注拆分为独立列，节约行高 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-03 04:37:39 +08:00
erio	930ce60fcc	fix: 审查修复 — 来源字段长度限制、鉴权超时、支付配置启动校验 - src_host max 253, src_url max 2048 - Sub2API 鉴权请求加 5s AbortController 超时 - initPaymentProviders 启动时校验 ENABLED_PAYMENT_TYPES 与已注册 provider 一致性 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-03 01:56:22 +08:00
erio	21cc90a71f	feat: 管理后台支持 Sub2API 管理员 token 认证保留原有 ADMIN_TOKEN 认证，同时支持传入 Sub2API 用户 token，通过 /api/v1/auth/me 验证 role=admin 身份。 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-03 00:41:27 +08:00
erio	c9462f4f14	feat: 管理后台订单列表显示来源域名（srcHost） Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-03 00:19:01 +08:00
erio	d952942627	feat: 订单来源追踪，保存 src_host / src_url 到订单记录 iframe 嵌入充值页面时 URL 自动附带来源参数，写入数据库用于追踪分析。 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>	2026-03-02 20:40:16 +08:00
erio	e170d5451e	fix: 帮助内容改为服务端变量经 API 下发，运行时可配无需重新构建	2026-03-02 02:46:51 +08:00
erio	136723b8af	feat: 支付渠道每日限额（渠道维度全平台统计） - config.ts：新增 MAX_DAILY_AMOUNT_ALIPAY/WXPAY/STRIPE（默认 alipay/wxpay 各 1w，stripe 不限） - lib/order/limits.ts：getMethodDailyLimit + queryMethodLimits 共用工具，支持动态渠道兜底 - order/service.ts：createOrder 校验渠道限额，超限抛 METHOD_DAILY_LIMIT_EXCEEDED - api/limits/route.ts：公开接口 GET /api/limits，返回各渠道今日用量/剩余/是否可用 - api/user/route.ts：config 响应中加入 methodLimits，前端一次请求即可获取限额状态 - PaymentForm.tsx：额度已满的渠道置灰 + 标注「今日额度已满」，无法选择 - pay/page.tsx：AppConfig 加 methodLimits，传给 PaymentForm，新增错误码映射	2026-03-01 21:53:09 +08:00
erio	292c14b882	feat: 订单列表支持分页查询，分页大小可选 20/50/100 - /api/orders/my 新增 page/page_size 参数，返回分页信息和全局状态统计 - 用户订单页：分页控件（首/上/下/末页）+ 分页大小选择，摘要卡片改为全局统计 - 管理员订单页：分页大小选择器（20/50/100）+ 首尾页跳转按钮	2026-03-01 20:04:49 +08:00
erio	4374ca9126	feat: 每日充值限额 + 单笔上限默认 1000 + 前端金额校验优化 - 新增 MAX_DAILY_RECHARGE_AMOUNT 环境变量（0=不限制），创建订单时统计当日已付款总额，超限返回友好提示 - MAX_RECHARGE_AMOUNT 默认值从 10000 改为 1000 - PaymentForm 快速金额按钮过滤掉超过 maxAmount 的选项 - 金额超限时前端显示明确提示（单笔最低/最高 ¥xxx） - 支付说明栏展示每日限额信息	2026-03-01 19:41:44 +08:00
erio	c41933db70	security: 隐私接口全面加固，统一 token 鉴权 - /api/orders/[id] 只返回 id/status/expiresAt，移除 user_name/pay_url 等隐私字段 - /api/orders/[id]/cancel 改为 token 鉴权，服务端验证用户身份后执行取消 - /api/orders (POST 响应) 过滤 userName/userBalance，不向客户端暴露 - /api/user 移除 username/email/balance，只返回 id/status 和 config - /api/users/[id] 只返回 {id, exists}，不暴露任何隐私信息 - pay/page.tsx 恢复从服务端动态获取 config，无 token 时只显示用户 ID - pay/orders/page.tsx 无 token 时不查询隐私接口，统一按钮样式 - PaymentQRCode 新增 token prop，无 token 时隐藏取消按钮 - 创建订单失败改为中文错误提示	2026-03-01 19:25:14 +08:00
erio	5a315a8f08	refactor: unify cancel logic with cancelOrderCore and show blocked UI - Extract cancelOrderCore() shared by user cancel, admin cancel, and timeout expire - Query payment platform before cancelling: if already paid, run confirmPayment - Simplify timeout.ts to delegate to cancelOrderCore - Cancel API returns already_paid outcome for frontend handling - Show "订单已支付，无法取消" prompt with back button when cancel is blocked	2026-03-01 18:44:49 +08:00
erio	d9ab65ecf2	feat: integrate Stripe payment with bugfixes and active timeout cancellation - Add Stripe payment provider with Checkout Session flow - Payment provider abstraction layer (EasyPay + Stripe unified interface) - Stripe webhook with proper raw body handling and signature verification - Frontend: Stripe button with URL validation, anti-duplicate click, noopener - Active timeout cancellation: query platform before expiring, recover paid orders - Singleton Stripe client, idempotency keys, Math.round for amounts - Handle async_payment events, return null for unknown webhook events - Set Checkout Session expires_at aligned with order timeout - Add cancelPayment to provider interface (Stripe: sessions.expire, EasyPay: no-op) - Enable stripe in frontend payment type list	2026-03-01 17:58:08 +08:00
erio	2f45044073	refactor: extract pay page components and migrate zpay → easypay Components: - Add PayPageLayout, OrderFilterBar, MobileOrderList, OrderTable, OrderSummaryCards - Extract shared pay-utils (types, constants, helper functions) - Simplify pay/page.tsx and orders/page.tsx EasyPay migration: - Remove src/lib/zpay/, api/zpay/notify, zpay test, zpay.md - Simplify config.ts: single envSchema, no ZPAY_* fallback - Rename DB field zpay_trade_no → payment_trade_no (migration added) - Update OrderDetail label: ZPAY订单号 → 支付单号 - Update CLAUDE.md project structure	2026-03-01 15:55:43 +08:00
erio	dadf7b228f	fix: remove dead zpay/client, fix zpay notify route type imports	2026-03-01 14:27:49 +08:00
erio	d5719bf213	feat: migrate payment provider to easy-pay, add order history and refund support - Replace zpay with easy-pay payment provider (new lib/easy-pay/ module) - Add order history page for users (pay/orders) - Add GET /api/orders/my endpoint to list user's own orders - Add GET /api/users/[id] endpoint for sub2api user lookup - Add order status tracking module (lib/order/status.ts) - Update config to support easy-pay credentials (merchant ID, key, gateway) - Update PaymentForm and PaymentQRCode components for easy-pay flow - Update pay page and admin page with new order management UI - Update order service to support easy-pay, cancellation, and refund	2026-03-01 03:04:24 +08:00

32 Commits