feat: production hardening - CORS whitelist, strong password, tokenVersion revoke, VIP card hashing, admin secret

2026-05-10 22:53:32 +08:00
parent 5b23c88df9
commit 21709e5d97
9 changed files with 299 additions and 69 deletions
--- a/.env.example
+++ b/.env.example
@@ -1,13 +1,13 @@
 # 数据库连接
 DATABASE_URL="postgresql://postgres:password@localhost:5432/maqt?schema=public"
-# JWT 密钥（请修改为随机字符串）
+# JWT 密钥（务必修改为随机长字符串）
-JWT_SECRET="your-super-secret-jwt-key-change-this-in-production"
+JWT_SECRET="change-me-to-a-random-64-char-string"
 # JWT 过期时间
 JWT_EXPIRES_IN="7d"
-# 数据加密密钥（32字节，请修改）
+# 数据加密密钥（32字节，务必修改）
 ENCRYPTION_KEY="0123456789abcdef0123456789abcdef"
 # 服务端口
@@ -16,5 +16,8 @@ PORT=3001
 # 环境
 NODE_ENV="development"
-# VIP 卡密批次密钥（用于生成卡密签名）
+# CORS 允许的来源 (逗号分隔)
-BATCH_SECRET="your-batch-secret-key"
+ALLOWED_ORIGINS="http://localhost:5173,app://.,file://"
 # 管理员密钥 (用于 /api/admin 端点)
 ADMIN_SECRET="change-me-to-random"
--- a/API_FULL_ANALYSIS.md
+++ b/API_FULL_ANALYSIS.md
@@ -0,0 +1,192 @@
 # 码枪堂 API 全线分析报告
 > 基于 Fiddler 抓包 ss3.saz（原版 API）+ ss4.saz（自定义服务器）对比
 ---
 ## 一、API 域名概览
 | 域名 | 用途 |
 |------|------|
 | `https://maqt.top/api/*` | 主业务 API |
 | `https://pop.maqt.top/api/*` | 弹窗广告 API |
 | `https://update.maqt.top/*` | 更新服务 |
 | `https://tuku.maqt.top/*` | 图片托管 |
 | `http://100.105.17.52:3001/api/*` | 自定义后端（解包版） |
 ---
 ## 二、完整 API 端点清单
 ### 🔐 认证
 | 方法 | 端点 | 请求体 | 当前状态 |
 |------|------|--------|----------|
 | POST | `/api/login` | `{"username","password","installId","deviceHash","platform","osVersion","appVersion"}` | ✅ 已实现 |
 | POST | `/api/register` | 需要抓包确认 | ❌ 待实现 |
 | POST | `/api/activate-vip` | 需要抓包确认 | ✅ 已实现 |
 ### 📊 会话 & 状态
 | 方法 | 端点 | 当前状态 |
 |------|------|----------|
 | GET | `/api/session-status` | ✅ 已实现 |
 | GET | `/api/vip-status` | ❌ 待实现 |
 | GET | `/api/user/stats/{userId}` | ❌ 待实现 |
 | GET | `/api/user/favorited-count/{userId}` | ❌ 待实现 |
 | GET | `/api/user/limits/{userId}` | ❌ 待实现 |
 | GET | `/api/user/schemes/{userId}` | ❌ 待实现 |
 ### 🎯 改枪方案
 | 方法 | 端点 | 参数 | 当前状态 |
 |------|------|------|----------|
 | GET | `/api/category/{type}` | AR/SMG/SR/LMG/SG/Pistol/Launcher | ✅ 已实现 |
 | GET | `/api/schemes` | `sort=hot&page=1&limit=12&source=...` | ✅ 已实现 |
 | GET | `/api/schemes` | `sort=hot&page=1&limit=12&weaponCategory&weaponName` | ✅ 已实现 |
 | POST | `/api/schemes/{id}/use` | 需要抓包确认 | ❌ 待实现 |
 ### ❤️ 收藏
 | 方法 | 端点 | 当前状态 |
 |------|------|----------|
 | GET | `/api/favorites/count` | ✅ 已实现 |
 | GET | `/api/favorites/check?schemeId={id}&source=...` | ✅ 已实现 |
 ### 🎯 弹出广告
 | 方法 | 端点 | 当前状态 |
 |------|------|----------|
 | GET | `/api/popups/test_beta_01` | ❌ 待实现 |
 | GET | `/api/aftersale-tutorial-popup` | ❌ 待实现 |
 | GET | `/api/software-version-ad` | ❌ 待实现 |
 ### 🔄 更新服务
 | 方法 | 端点 | 备注 |
 |------|------|------|
 | GET | `/latest.yml` | Electron auto-updater 配置 |
 | GET | `/update-config.json` | 更新配置 |
 ### 🖼️ 图片托管
 | 方法 | 端点 | 备注 |
 |------|------|------|
 | GET | `tuku.maqt.top/i/2026/03/22/*.png` | 静态图片资源 |
 ---
 ## 三、ss3 vs ss4 请求对比（关键差异）
 ### 原版（ss3）完整流程：
 ```
 1. 检查更新: GET update.maqt.top/{latest.yml,update-config.json}
 2. 弹窗广告: GET pop.maqt.top/api/software-version-ad
 3. 会话状态: GET maqt.top/api/session-status (高频轮询!)
 4. 注册/登录: POST maqt.top/api/register
 5. 获取分类: GET maqt.top/api/category/{type}
 6. 获取方案: GET maqt.top/api/schemes?...
 7. 收藏检查: GET maqt.top/api/favorites/check?schemeId=...
 8. 激活VIP: POST maqt.top/api/activate-vip
 9. VIP状态: GET maqt.top/api/vip-status
 10. 用户数据: GET maqt.top/api/user/{stats,favorited-count,limits,schemes}/{id}
 11. 方案使用: POST maqt.top/api/schemes/{id}/use
 12. 图片加载: GET tuku.maqt.top/... (持续轮询)
 ```
 ### 自定义服务器（ss4 后半段）请求序列：
 ```
 162: GET  /api/popups/test_beta_01
 163: GET  /api/session-status
 164: GET  /api/software-version-ad
 165: GET  /api/aftersale-tutorial-popup
 166: GET  /update-config.json
 169: GET  /api/software-version-ad
 170: GET  /api/popups/test_beta_01
 171: GET  /api/aftersale-tutorial-popup
 172: GET  /update-config.json
 173: GET  /api/category/AR
 174: GET  /api/schemes?sort=hot&page=1&limit=12&source=...
 175: GET  /api/category/SMG
 176: GET  /api/category/SR
 177: GET  /api/category/LMG
 178: GET  /api/category/SG
 179: GET  /api/category/Pistol
 180: GET  /api/category/Launcher
 181: POST /api/login
 182: GET  /api/session-status
 183: GET  /api/favorites/count
 184: GET  /api/schemes?...
 185: GET  /api/schemes?...
 186: GET  /api/favorites/count
 187: GET  /api/session-status
 190: GET  /api/session-status
 194-199: GET /api/session-status (轮询...)
 ```
 ### ❗ 自定义服务器缺失的端点
 以下端点在原版中有调用，但在自定义服务器请求中从未出现：
 - **POST `/api/register`** — 注册功能
 - **POST `/api/activate-vip`** — VIP 激活（端点存在但可能未被调用）
 - **GET `/api/vip-status`** — VIP 状态查询
 - **GET `/api/user/stats/{id}`** — 用户统计
 - **GET `/api/user/favorited-count/{id}`** — 用户收藏数
 - **GET `/api/user/limits/{id}`** — 用户限制
 - **GET `/api/user/schemes/{id}`** — 用户方案列表
 - **POST `/api/schemes/{id}/use`** — 方案使用记录
 ---
 ## 四、重新封装开发计划
 ### 阶段 1：API 补充（先补齐缺失端点）
 **优先级 P0（应用启动必需）：**
 - [ ] `GET /api/vip-status` — 登录后立刻调用，缺了前端一直没 VIP
 - [ ] `GET /api/user/stats/:id`
 - [ ] `GET /api/user/favorited-count/:id`
 - [ ] `GET /api/user/limits/:id`
 - [ ] `GET /api/user/schemes/:id`
 - [ ] `POST /api/schemes/:id/use`
 **优先级 P1（弹窗广告，不影响核心功能）：**
 - [ ] `GET /api/software-version-ad`
 - [ ] `GET /api/popups/test_beta_01`
 - [ ] `GET /api/aftersale-tutorial-popup`
 - [ ] `GET /api/update-config.json`
 **优先级 P2（注册，一次性的）：**
 - [ ] `POST /api/register`（含 installId, deviceHash）
 ### 阶段 2：桌面端复刻（Electron + React）
 等 API 补全后，桌面端从头写：
 ```
 maqt-desktop/
 ├── electron/
 │   ├── main.ts      # 窗口管理
 │   └── preload.ts   # electronAPI
 ├── src/
 │   ├── App.tsx
 │   ├── pages/
 │   │   ├── Home.tsx        # 桌面首页
 │   │   ├── Login.tsx
 │   │   ├── Schemes.tsx     # 改枪方案
 │   │   ├── Filters.tsx     # 画面滤镜
 │   │   ├── Optimization.tsx
 │   │   └── ...
 │   ├── components/
 │   │   ├── Dock.tsx        # 底部导航
 │   │   ├── DesktopIcons.tsx
 │   │   └── ...
 │   └── hooks/
 │       ├── useAuth.ts
 │       └── useApi.ts
 ├── native/                  # 原生程序
 │   ├── MaqiangTangh1.exe
 │   ├── nvidiaProfileInspector.exe
 │   └── tools/
 └── package.json
 ```
 ### 阶段 3：原生功能对接
 - [ ] spawn `MaqiangTangh1.exe` 执行系统优化
 - [ ] spawn `MaqiangTangXiXiOverlay.exe` 游戏内 Overlay
 - [ ] 调用 PowerShell 脚本 Gamma 校准
 - [ ] NVIDIA Profile Inspector 配置
 - [ ] 硬件监控面板
--- a/prisma/schema.prisma
+++ b/prisma/schema.prisma
@@ -25,6 +25,9 @@ model User {
  vipLevel      Int       @default(0) @map("vip_level")
  vipExpireAt   DateTime? @map("vip_expire_at")
  // Token 吊销 (递增版本号使旧 token 失效)
  tokenVersion  Int       @default(0) @map("token_version")
  // 统计
  schemesCount      Int   @default(0) @map("schemes_count")
  favoritesCount    Int   @default(0) @map("favorites_count")
--- a/prisma/seed.ts
+++ b/prisma/seed.ts
@@ -4,15 +4,17 @@ import crypto from 'crypto';
 const prisma = new PrismaClient();
 /**
- * 生成 VIP 卡密
+ * 生成 VIP 卡密 (原始 + 哈希)
 */
-function generateCardKey(days: number): string {
+function generateCardKey(days: number): { raw: string; hash: string } {
  const prefix = `VIP${days}`;
  const segments = [];
  for (let i = 0; i < 4; i++) {
    segments.push(crypto.randomBytes(2).toString('hex').toUpperCase());
  }
-  return `${prefix}-${segments.join('-')}`;
+  const raw = `${prefix}-${segments.join('-')}`;
  const hash = crypto.createHash('sha256').update(raw).digest('hex');
  return { raw, hash };
 }
 async function main() {
@@ -22,79 +24,59 @@ async function main() {
  // 创建分类
  // ============================================
  const categories = [
    // 烽火地带
    { name: '突击步枪', type: 'SCHEME' },
    { name: '冲锋枪', type: 'SCHEME' },
    { name: '狙击步枪', type: 'SCHEME' },
    { name: '轻机枪', type: 'SCHEME' },
    { name: '霰弹枪', type: 'SCHEME' },
    { name: '手枪', type: 'SCHEME' },
-    
+    { name: '发射器', type: 'SCHEME' },
    // 全面战场
    { name: '突击步枪', type: 'SCHEME_AOB' },
    { name: '冲锋枪', type: 'SCHEME_AOB' },
    { name: '狙击步枪', type: 'SCHEME_AOB' },
    { name: '轻机枪', type: 'SCHEME_AOB' },
    { name: '霰弹枪', type: 'SCHEME_AOB' },
    // 滤镜
    { name: '烽火地带', type: 'FILTER' },
    { name: '全面战场', type: 'FILTER' },
    { name: '通用', type: 'FILTER' },
  ];
  for (const cat of categories) {
-    await prisma.category.create({
+    await prisma.category.create({ data: cat }).catch(() => {});
      data: cat,
    }).catch(() => {}); // 忽略重复错误
  }
  console.log(`✅ 创建 ${categories.length} 个分类`);
  // ============================================
-  // 生成 VIP 卡密
+  // 生成 VIP 卡密 (存储哈希，输出原始值仅此一次)
  // ============================================
  const testKey = { raw: 'VIP365-0000-0000-0000-0000', hash: crypto.createHash('sha256').update('VIP365-0000-0000-0000-0000').digest('hex') };
  await prisma.vipCard.create({
    data: { cardKey: testKey.hash, cardType: 'YEAR', days: 365 },
  }).catch(() => {});
  console.log(`\n🔑 测试卡密 (仅显示一次): ${testKey.raw}`);
  const cardConfigs = [
    { type: 'MONTH', days: 30, count: 100 },
    { type: 'QUARTER', days: 90, count: 50 },
    { type: 'YEAR', days: 365, count: 20 },
  ];
  // 测试卡密 (固定值，方便开发验证)
  await prisma.vipCard.create({
    data: {
      cardKey: 'VIP365-0000-0000-0000-0000',
      cardType: 'YEAR',
      days: 365,
    },
  }).catch(() => {});
  console.log(`✅ 创建测试卡密: VIP365-0000-0000-0000-0000`);
  let totalCards = 0;
  for (const config of cardConfigs) {
    const cards = [];
    console.log(`\n📦 ${config.type} 卡密 (${config.count} 张):`);
    for (let i = 0; i < config.count; i++) {
-      cards.push({
+      const { raw, hash } = generateCardKey(config.days);
-        cardKey: generateCardKey(config.days),
+      cards.push({ cardKey: hash, cardType: config.type, days: config.days });
-        cardType: config.type,
+      console.log(`  ${raw}`);
        days: config.days,
      });
    }
    await prisma.vipCard.createMany({ data: cards, skipDuplicates: true });
    totalCards += config.count;
    console.log(`✅ 生成 ${config.type} 卡密 ${config.count} 张`);
  }
  console.log(`\n🎉 种子数据初始化完成！`);
  console.log(`   ⚠️  以上卡密仅显示一次，请妥善保存`);
  console.log(`   - 分类：${categories.length} 个`);
-  console.log(`   - VIP 卡密：${totalCards} 张`);
+  console.log(`   - VIP 卡密：${totalCards + 1} 张`);
 }
 main()
  .catch((e) => {
    console.error('❌ 种子数据初始化失败:', e);
    process.exit(1);
  })
  .finally(async () => {
    await prisma.$disconnect();
  });
--- a/src/index.ts
+++ b/src/index.ts
@@ -27,9 +27,21 @@ app.use(helmet({
  crossOriginEmbedderPolicy: false,
 }));
-// CORS
+// CORS — 仅允许白名单来源
 const ALLOWED_ORIGINS = process.env.ALLOWED_ORIGINS?.split(',') || [
  'http://localhost:5173',
  'http://localhost:3000',
  'app://.',
  'file://',
 ];
 app.use(cors({
-  origin: true, // 允许所有来源（开发模式）
+  origin: (origin, callback) => {
    if (!origin || ALLOWED_ORIGINS.some(o => origin.startsWith(o))) {
      callback(null, true);
    } else {
      callback(new Error('CORS blocked'));
    }
  },
  credentials: true,
 }));
@@ -221,11 +233,11 @@ releaseDate: '2024-01-01T00:00:00.000Z'
 });
 // ============================================
-// 开发工具端点 (仅 NODE_ENV=development)
+// 开发工具端点 (需 ADMIN_SECRET)
 // ============================================
 app.post('/api/admin/set-vip', async (req, res) => {
-  if (process.env.NODE_ENV !== 'development') {
+  const secret = process.env.ADMIN_SECRET;
-    return res.status(403).json({ success: false, message: '仅开发环境可用' });
+  if (!secret || req.headers['x-admin-secret'] !== secret) {
    return res.status(403).json({ success: false, message: '禁止访问' });
  }
  try {
    const { username, isVip } = req.body;
--- a/src/middleware/auth.ts
+++ b/src/middleware/auth.ts
@@ -44,10 +44,10 @@ export async function authMiddleware(req: Request, res: Response, next: NextFunc
      });
    }
-    // 检查用户是否存在且未被删除
+    // 检查用户是否存在且未被删除，同时验证 tokenVersion 一致
    const user = await prisma.user.findUnique({
      where: { id: payload.userId },
-      select: { id: true, deletedAt: true },
+      select: { id: true, deletedAt: true, tokenVersion: true },
    });
    if (!user || user.deletedAt) {
@@ -58,6 +58,15 @@ export async function authMiddleware(req: Request, res: Response, next: NextFunc
      });
    }
    // token 已被吊销 (登出或密码修改后旧 token 失效)
    if (user.tokenVersion !== payload.tokenVersion) {
      return res.status(401).json({
        success: false,
        message: '访问令牌已失效，请重新登录',
        code: 'TOKEN_EXPIRED',
      });
    }
    // 将用户信息附加到请求对象
    req.user = payload;
    next();
--- a/src/routes/auth.ts
+++ b/src/routes/auth.ts
@@ -13,7 +13,10 @@ const prisma = new PrismaClient();
 // ============================================
 const registerSchema = z.object({
  username: z.string().min(3).max(50),
-  password: z.string().min(6).max(100),
+  password: z.string().min(8, '密码至少8位').max(100)
    .regex(/[A-Z]/, '密码需包含大写字母')
    .regex(/[a-z]/, '密码需包含小写字母')
    .regex(/[0-9]/, '密码需包含数字'),
  email: z.string().email(),
  installId: z.string().optional(),
  deviceHash: z.string().optional(),
@@ -68,6 +71,7 @@ router.post('/register', async (req: Request, res: Response) => {
      email: user.email,
      isVip: user.isVip,
      vipLevel: user.vipLevel,
      tokenVersion: user.tokenVersion,
    });
    // 记录日志
@@ -170,6 +174,7 @@ router.post('/login', async (req: Request, res: Response) => {
      email: user.email,
      isVip: user.isVip,
      vipLevel: user.vipLevel,
      tokenVersion: user.tokenVersion,
    });
    // 记录日志
@@ -210,6 +215,22 @@ router.post('/login', async (req: Request, res: Response) => {
  }
 });
 // ============================================
 // 登出 (使当前 token 失效)
 // ============================================
 router.post('/logout', authMiddleware, async (req: Request, res: Response) => {
  try {
    await prisma.user.update({
      where: { id: req.user!.userId },
      data: { tokenVersion: { increment: 1 } },
    });
    res.json({ success: true, message: '已登出' });
  } catch (error) {
    console.error('Logout error:', error);
    res.status(500).json({ success: false, message: '登出失败' });
  }
 });
 // ============================================
 // 会话状态 (从数据库查询最新状态，避免 token 缓存导致 isVip 过期)
 // ============================================
--- a/src/routes/vip.ts
+++ b/src/routes/vip.ts
@@ -1,5 +1,6 @@
 import { Router, Request, Response } from 'express';
 import { PrismaClient } from '@prisma/client';
 import crypto from 'crypto';
 import { z } from 'zod';
 import { authMiddleware } from '../middleware/auth';
 import { generateToken } from '../utils/jwt';
@@ -7,6 +8,10 @@ import { generateToken } from '../utils/jwt';
 const router = Router();
 const prisma = new PrismaClient();
 function hashCardKey(raw: string): string {
  return crypto.createHash('sha256').update(raw).digest('hex');
 }
 // ============================================
 // VIP 卡密激活
 // ============================================
@@ -18,9 +23,10 @@ router.post('/activate-vip', authMiddleware, async (req: Request, res: Response)
  try {
    const body = activateSchema.parse(req.body);
-    // 查找卡密
+    // 查找卡密 (比对哈希)
    const hashedKey = hashCardKey(body.cardKey);
    const card = await prisma.vipCard.findUnique({
-      where: { cardKey: body.cardKey },
+      where: { cardKey: hashedKey },
    });
    if (!card) {
@@ -97,6 +103,7 @@ router.post('/activate-vip', authMiddleware, async (req: Request, res: Response)
      email: updatedUser.email,
      isVip: true,
      vipLevel: updatedUser.vipLevel,
      tokenVersion: updatedUser.tokenVersion,
    });
    res.json({
--- a/src/utils/jwt.ts
+++ b/src/utils/jwt.ts
@@ -12,6 +12,7 @@ export interface JwtPayload {
  email: string;
  isVip: boolean;
  vipLevel: number;
  tokenVersion: number;
 }
 /**