docs: API 文档拆分为 docs/api/(索引+一接口一文件), 补全遗漏的 coupon/step

- 单文件 docs/API.md 拆成 docs/api/: README.md(传送门索引: 11 接口总览表 +
  通用约定 + 复用结构) + 11 个一接口一文件, 便于接口增多后维护
- 补全此前 API.md 与技术文档均遗漏的核心接口 coupon-step.md
  (一键领券透传 pricebot-backend, 唯一需 JWT 鉴权的业务接口)
- 更新 后端技术实现.md: 业务补"领券透传"块、目录补 coupon.py、新增 coupon/step 节、
  配置补 PRICEBOT_*、接口索引改指向 docs/api/

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
2026-05-27 12:07:54 +08:00
parent 391f3df1bb
commit a2263b48a0
14 changed files with 373 additions and 267 deletions
-248
View File
@@ -1,248 +0,0 @@
# 傻瓜比价 App 后端 — API 接口文档
> Base URL:生产 `https://app-api.shaguabijia.com`;本地联调 `http://<开发机>:8770`
> 协议:HTTP / JSON,请求与响应体均 `application/json`,字段统一 **snake_case**
> 鉴权:需鉴权的接口在请求头带 `Authorization: Bearer <access_token>`
> 最后更新:2026-05-27
---
## 通用约定
- **时间格式**:ISO 8601 UTC(如 `2026-05-27T12:34:56Z`
- **错误响应**:FastAPI 标准结构 `{"detail": "<错误信息>"}`,配合语义化 HTTP 状态码:
- `400` 业务参数错(如验证码不对)
- `401` 未认证 / token 无效或过期 / 用户被禁(响应头带 `WWW-Authenticate: Bearer`
- `403` 账号被禁用
- `422` 请求体字段校验失败(FastAPI 自动校验,如手机号格式)
- `429` 触发限流(短信发送过频)
- `502` 上游调用失败(极光验证/解密失败、美团接口失败)
- **接口文档(交互式)**:`APP_ENV` 非 prod 时开放 `GET /docs`Swagger UI)、`GET /redoc`;生产环境关闭。
---
## 接口总览
| # | 方法 + 路径 | 鉴权 | 说明 |
|---|---|---|---|
| 1 | `GET /health` | 无 | 健康检查 |
| 2 | `POST /api/v1/auth/jverify-login` | 无 | 极光一键登录 |
| 3 | `POST /api/v1/auth/sms/send` | 无 | 发送短信验证码(mock) |
| 4 | `POST /api/v1/auth/sms/login` | 无 | 手机号 + 验证码登录 |
| 5 | `POST /api/v1/auth/refresh` | 无 | 刷新 token |
| 6 | `GET /api/v1/auth/me` | Bearer | 获取当前登录用户 |
| 7 | `POST /api/v1/auth/logout` | Bearer | 登出(服务端占位) |
| 8 | `POST /api/v1/meituan/coupons` | 无 | 券列表 / 搜索 |
| 9 | `POST /api/v1/meituan/feed` | 无 | 首页混合推荐流 |
| 10 | `POST /api/v1/meituan/referral-link` | 无 | 换取推广链接(点"抢"时调) |
> ⚠️ 美团三个接口当前**无鉴权**,且 `referral-link` 的 `sid` 允许客户端传值覆盖默认渠道——见各接口"备注"。
---
## 复用数据结构
### TokenPair
| 字段 | 类型 | 说明 |
|---|---|---|
| `access_token` | string | 访问令牌,之后每个鉴权请求带 `Authorization: Bearer <它>` |
| `refresh_token` | string | 刷新令牌 |
| `token_type` | string | 固定 `"Bearer"` |
| `expires_in` | int | access 剩余秒数(默认 7200 = 2h |
| `refresh_expires_in` | int | refresh 剩余秒数(默认 2592000 = 30d |
### TokenWithUser
继承 `TokenPair` 全部字段,额外多一个 `user``UserOut`)。登录类接口成功时返回此结构。
### UserOut
| 字段 | 类型 | 说明 |
|---|---|---|
| `id` | int | 用户主键 |
| `phone` | string | 手机号 |
| `nickname` | string \| null | 昵称(当前无接口可改,恒为 null) |
| `avatar_url` | string \| null | 头像(同上) |
| `register_channel` | string | 注册渠道:`jverify` / `sms` |
| `status` | string | `active` / `disabled` / `deleted` |
| `created_at` | datetime | 注册时间 |
| `last_login_at` | datetime | 最近登录时间 |
### CouponCard(券卡片,`coupons` 与 `feed` 的 `items` 元素)
| 字段 | 类型 | 说明 |
|---|---|---|
| `product_view_sign` | string | **换链主键**(传给 `referral-link` |
| `platform` | int | `1`=外卖/到家, `2`=到店 |
| `biz_line` | int \| null | 到店子类:1到餐 2到综 3酒店 4门票 |
| `name` | string | 商品名 |
| `head_image_url` | string | 头图 |
| `brand_name` | string \| null | 品牌名 |
| `brand_logo_url` | string \| null | 品牌 logo |
| `sell_price` | string | 现价 |
| `original_price` | string | 原价 |
| `discount_amount` | string | 优惠额 = 原价 现价 |
| `commission_rate` | string | 佣金比例,如 `"1.4%"` |
| `commission_amount` | string \| null | 预估佣金(元) |
| `sale_volume` | string \| null | 销量 |
| `poi_name` | string \| null | 最近门店名 |
| `distance_text` | string \| null | 格式化距离,如 `"600m"` / `"1.5km"` |
| `distance_meters` | float \| null | 原始距离(米) |
| `available_poi_num` | int \| null | 可用门店数 |
| `coupon_num` | int \| null | 券张数 |
| `valid_days` | int \| null | 券有效天数 |
| `price_label` | string \| null | 如 `"15天低价"` |
| `rank_label` | string \| null | 如 `"2小时北京外卖销量榜第1名"` |
| `rating_label` | string \| null | 如 `"4.6分"` |
---
## 1. Meta
### `GET /health`
- **鉴权**:无
- **入参**:无
- **响应** `200`:`{ "status": "ok" }`
---
## 2. Auth 组(前缀 `/api/v1/auth`
### 2.1 `POST /jverify-login` — 极光一键登录
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `login_token` | string | ✅(非空) | 客户端极光 `loginAuth` 拿到的 loginToken |
| `operator` | string | ❌(默认 `""` | 运营商标识 CM/CU/CT,仅用于后端日志 |
- **响应** `200`:`TokenWithUser``user.register_channel``"jverify"`
- **错误**:`502` 极光验证或 RSA 解密失败;`403` 账号被禁用
- **说明**:后端拿 `login_token` 调极光 `loginTokenVerify` 验真 → 取回 RSA 加密的手机号 → 用私钥解密 → 注册即登录(手机号不存在则建号)→ 签发 JWT。
### 2.2 `POST /sms/send` — 发送短信验证码
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `phone` | string | ✅ | 手机号,正则 `^1\d{10}$` |
- **响应** `200`:
| 字段 | 类型 | 说明 |
|---|---|---|
| `sent` | bool | 是否已发送 |
| `mock` | bool | 是否 mock 模式(true 时不真发,任意 6 位通过) |
| `cooldown_sec` | int | 多少秒后才能再次发送 |
- **错误**:`429` 发送过频(默认 60s 冷却内重复发)
- **说明**:mock 模式(`SMS_MOCK=true`)下不真发短信,仅记录冷却时间。
### 2.3 `POST /sms/login` — 手机号 + 验证码登录
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `phone` | string | ✅ | 手机号 `^1\d{10}$` |
| `code` | string | ✅ | 验证码,长度 48 |
- **响应** `200`:`TokenWithUser``user.register_channel``"sms"`
- **错误**:`400` 验证码错误;`403` 账号被禁用
- **说明**:mock 模式下任意 6 位数字均通过校验。注册即登录。
### 2.4 `POST /refresh` — 刷新 token
- **鉴权**:无(凭 body 里的 refresh_token
- **入参**:
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `refresh_token` | string | ✅ | 有效的 refresh token |
- **响应** `200`:`TokenPair`**注意:不含 `user` 字段**
- **错误**:`401` refresh token 无效/过期/类型不对,或用户不存在/被禁用
- **说明**:服务端校验 refresh token(验签 + 验过期 + 验类型为 refresh)并查库确认用户仍 active,然后签发**全新的** access+refresh 对。客户端在请求收到 401 时由 OkHttp `Authenticator` 自动调用。
### 2.5 `GET /me` — 获取当前登录用户
- **鉴权**:✅ Bearer access_token
- **入参**:无(身份取自 Header token
- **响应** `200`:`UserOut`
- **错误**:`401` 未带 token / token 无效或过期 / 用户被禁用
### 2.6 `POST /logout` — 登出
- **鉴权**:✅ Bearer access_token
- **入参**:无
- **响应** `200`:`{ "ok": true }`
- **说明**:服务端**无状态、不吊销 token**(占位实现),真正失效靠客户端删除本地 token。后续若加 jti 黑名单可在此写入。
---
## 3. 美团 CPS 组(前缀 `/api/v1/meituan`,**全部无鉴权**
### 3.1 `POST /coupons` — 券列表 / 搜索
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `longitude` | float | ✅ | — | 经度 |
| `latitude` | float | ✅ | — | 纬度 |
| `platform` | int | ❌ | 1 | 1=外卖/到家, 2=到店 |
| `biz_line` | int | ❌ | null | 到店子类:1到餐 2到综 3酒店 4门票 |
| `list_topic_id` | int | ❌ | 3 | 榜单:1精选 2今日必推 3爆款筛选 5限时筛选 |
| `keyword` | string | ❌ | null | 搜索词(**填了则忽略 `list_topic_id`,走搜索** |
| `sort_field` | int | ❌ | null | 1价格 2销量 6离我最近(搜索时默认 6) |
| `search_id` | string | ❌ | null | 翻页 token,首页不填 |
| `page` | int | ❌ | 1 | ≥1 |
| `page_size` | int | ❌ | 20 | 120 |
- **响应** `200`:`{ items: CouponCard[], has_next: bool, search_id: string|null }`
- **错误**:`502` 美团接口失败
- **备注**:当前 Android 客户端**未调用**此接口(搜索功能尚未实现),仅后端实现完整。
### 3.2 `POST /feed` — 首页混合推荐流
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `longitude` | float | ✅ | — | 经度 |
| `latitude` | float | ✅ | — | 纬度 |
| `page` | int | ❌ | 1 | ≥1 |
| `page_size` | int | ❌ | 20 | 120 |
- **响应** `200`:`{ items: CouponCard[], has_next: bool, page: int }`
- **备注**:后端在 `coupons` 之上封装的"伪推荐"——每页并发拉一次外卖、一次到店(到餐)榜单,按 **2 外卖 + 1 到店** 交叉去重。榜单组合写死 3 页(第1页爆款、第2页今日必推、第3页外卖精选+到店限时),**第 3 页起 `has_next=false`、第 4 页返空**。
⚠️ **可观测性盲区**:`feed` 内部对美团调用异常是静默吞掉返回空列表(不报 502、不打日志)。若 `items` 为空但无错误,优先用 `coupons` 接口逼出真实错误(它会以 502 暴露,如"MT_CPS_APP_KEY not configured")。
### 3.3 `POST /referral-link` — 换取推广链接
- **鉴权**:无
- **入参**:
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `product_view_sign` | string | ✅ | — | 券的换链主键(来自 `CouponCard` |
| `platform` | int | ❌ | 1 | 1=外卖/到家, 2=到店 |
| `biz_line` | int | ❌ | null | 到店子类 |
| `sid` | string | ❌ | 服务端默认 `sgbjia` | 渠道追踪标识 |
| `link_type_list` | int[] | ❌ | `[1, 3]` | 1=H5长链 2=H5短链 3=deeplink |
- **响应** `200`:
| 字段 | 类型 | 说明 |
|---|---|---|
| `link` | string | 默认推广链接(按 data > H5(1) > deeplink(3) > 任意 兜底) |
| `link_map` | object | 各类型链接 `{ "linkType": "url" }`,如 `{"1": "<H5>", "3": "<deeplink>"}` |
- **错误**:`502` 美团接口失败
- **备注**:客户端实际优先用 `link_map["3"]`deeplink)拉起美团 App,失败降级 `link_map["1"]`H5)。
⚠️ **安全**:`sid` 允许客户端传值覆盖服务端默认渠道,理论上他人可借本接口刷自己渠道的分佣;建议服务端锁定 `sid`、忽略客户端传值。
---
## 附:鉴权与刷新机制
- **签发**:登录成功后签发 access(HS256,2h) + refresh(30d),payload 含 `sub`(user_id)、`typ`(access/refresh)、`iat``exp`
- **携带**:客户端对需鉴权接口自动加 `Authorization: Bearer <access>`(登录类接口跳过)。
- **校验**`/me``/logout`:验签 → 验过期 → 验 `typ=access` → 查库确认用户存在且 `status=active`,任一不过 → 401。
- **续期**:access 过期触发 401 → 客户端用 refresh 调 `/refresh` 换新 token 对并重放原请求;refresh 也失效 → 清本地、跳登录。
- **无状态**:token 不落库,服务端无法主动吊销(logout 为占位),靠短 access 有效期限制泄露风险。JWT 密钥 `JWT_SECRET_KEY` 必须为高熵随机串(生产严禁用默认值)。
+105
View File
@@ -0,0 +1,105 @@
# 傻瓜比价 App 后端 — API 接口文档(索引)
> Base URL:生产 `https://app-api.shaguabijia.com`;本地联调 `http://<开发机>:8770`
> 协议:HTTP / JSON,请求与响应体均 `application/json`,字段统一 **snake_case**
> 鉴权:需鉴权的接口在请求头带 `Authorization: Bearer <access_token>`
> 最后更新:2026-05-27
---
## 接口总览
| # | 方法 + 路径 | 鉴权 | 详情 |
|---|---|---|---|
| 1 | `GET /health` | 无 | [详情](./health.md) |
| 2 | `POST /api/v1/auth/jverify-login` | 无 | [详情](./auth-jverify-login.md) |
| 3 | `POST /api/v1/auth/sms/send` | 无 | [详情](./auth-sms-send.md) |
| 4 | `POST /api/v1/auth/sms/login` | 无 | [详情](./auth-sms-login.md) |
| 5 | `POST /api/v1/auth/refresh` | 无 | [详情](./auth-refresh.md) |
| 6 | `GET /api/v1/auth/me` | Bearer | [详情](./auth-me.md) |
| 7 | `POST /api/v1/auth/logout` | Bearer | [详情](./auth-logout.md) |
| 8 | `POST /api/v1/coupon/step` | Bearer | [详情](./coupon-step.md) |
| 9 | `POST /api/v1/meituan/coupons` | 无 | [详情](./meituan-coupons.md) |
| 10 | `POST /api/v1/meituan/feed` | 无 | [详情](./meituan-feed.md) |
| 11 | `POST /api/v1/meituan/referral-link` | 无 | [详情](./meituan-referral-link.md) |
> ⚠️ 美团三个接口当前**无鉴权**,且 `referral-link` 的 `sid` 允许客户端传值覆盖默认渠道——见各接口"备注"。
> `coupon/step` 是后端**唯一需要 JWT 鉴权的业务接口**。
---
## 通用约定
- **时间格式**:ISO 8601 UTC(如 `2026-05-27T12:34:56Z`
- **错误响应**:FastAPI 标准结构 `{"detail": "<错误信息>"}`,配合语义化 HTTP 状态码:
- `400` 业务参数错(如验证码不对)
- `401` 未认证 / token 无效或过期 / 用户被禁(响应头带 `WWW-Authenticate: Bearer`
- `403` 账号被禁用
- `422` 请求体字段校验失败(FastAPI 自动校验,如手机号格式)
- `429` 触发限流(短信发送过频)
- `502` 上游调用失败(极光验证/解密失败、美团接口失败)
- **接口文档(交互式)**:`APP_ENV` 非 prod 时开放 `GET /docs`Swagger UI)、`GET /redoc`;生产环境关闭。
---
## 复用数据结构
### TokenPair
| 字段 | 类型 | 说明 |
|---|---|---|
| `access_token` | string | 访问令牌,之后每个鉴权请求带 `Authorization: Bearer <它>` |
| `refresh_token` | string | 刷新令牌 |
| `token_type` | string | 固定 `"Bearer"` |
| `expires_in` | int | access 剩余秒数(默认 7200 = 2h |
| `refresh_expires_in` | int | refresh 剩余秒数(默认 2592000 = 30d |
### TokenWithUser
继承 `TokenPair` 全部字段,额外多一个 `user``UserOut`)。登录类接口成功时返回此结构。
### UserOut
| 字段 | 类型 | 说明 |
|---|---|---|
| `id` | int | 用户主键 |
| `phone` | string | 手机号 |
| `nickname` | string \| null | 昵称(当前无接口可改,恒为 null) |
| `avatar_url` | string \| null | 头像(同上) |
| `register_channel` | string | 注册渠道:`jverify` / `sms` |
| `status` | string | `active` / `disabled` / `deleted` |
| `created_at` | datetime | 注册时间 |
| `last_login_at` | datetime | 最近登录时间 |
### CouponCard(券卡片,`coupons` 与 `feed` 的 `items` 元素)
| 字段 | 类型 | 说明 |
|---|---|---|
| `product_view_sign` | string | **换链主键**(传给 `referral-link` |
| `platform` | int | `1`=外卖/到家, `2`=到店 |
| `biz_line` | int \| null | 到店子类:1到餐 2到综 3酒店 4门票 |
| `name` | string | 商品名 |
| `head_image_url` | string | 头图 |
| `brand_name` | string \| null | 品牌名 |
| `brand_logo_url` | string \| null | 品牌 logo |
| `sell_price` | string | 现价 |
| `original_price` | string | 原价 |
| `discount_amount` | string | 优惠额 = 原价 现价 |
| `commission_rate` | string | 佣金比例,如 `"1.4%"` |
| `commission_amount` | string \| null | 预估佣金(元) |
| `sale_volume` | string \| null | 销量 |
| `poi_name` | string \| null | 最近门店名 |
| `distance_text` | string \| null | 格式化距离,如 `"600m"` / `"1.5km"` |
| `distance_meters` | float \| null | 原始距离(米) |
| `available_poi_num` | int \| null | 可用门店数 |
| `coupon_num` | int \| null | 券张数 |
| `valid_days` | int \| null | 券有效天数 |
| `price_label` | string \| null | 如 `"15天低价"` |
| `rank_label` | string \| null | 如 `"2小时北京外卖销量榜第1名"` |
| `rating_label` | string \| null | 如 `"4.6分"` |
---
## 附:鉴权与刷新机制
- **签发**:登录成功后签发 access(HS256,2h) + refresh(30d),payload 含 `sub`(user_id)、`typ`(access/refresh)、`iat``exp`
- **携带**:客户端对需鉴权接口自动加 `Authorization: Bearer <access>`(登录类接口跳过)。
- **校验**`/me``/logout`:验签 → 验过期 → 验 `typ=access` → 查库确认用户存在且 `status=active`,任一不过 → 401。
- **续期**:access 过期触发 401 → 客户端用 refresh 调 `/refresh` 换新 token 对并重放原请求;refresh 也失效 → 清本地、跳登录。
- **无状态**:token 不落库,服务端无法主动吊销(logout 为占位),靠短 access 有效期限制泄露风险。JWT 密钥 `JWT_SECRET_KEY` 必须为高熵随机串(生产严禁用默认值)。
+20
View File
@@ -0,0 +1,20 @@
# POST /api/v1/auth/jverify-login — 极光一键登录
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `login_token` | string | ✅(非空) | 客户端极光 `loginAuth` 拿到的 loginToken |
| `operator` | string | ❌(默认 `""` | 运营商标识 CM/CU/CT,仅用于后端日志 |
## 出参
响应 `200`:`TokenWithUser``user.register_channel``"jverify"`)。结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
- `502` 极光验证或 RSA 解密失败
- `403` 账号被禁用
## 说明
后端拿 `login_token` 调极光 `loginTokenVerify` 验真 → 取回 RSA 加密的手机号 → 用私钥解密 → 注册即登录(手机号不存在则建号)→ 签发 JWT。
+15
View File
@@ -0,0 +1,15 @@
# POST /api/v1/auth/logout — 登出
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:Bearer access_token | [← 返回 API 索引](./README.md)
## 入参
## 出参
响应 `200`:`{ "ok": true }`
## 错误码
## 说明
服务端**无状态、不吊销 token**(占位实现),真正失效靠客户端删除本地 token。后续若加 jti 黑名单可在此写入。
+15
View File
@@ -0,0 +1,15 @@
# GET /api/v1/auth/me — 获取当前登录用户
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:Bearer access_token | [← 返回 API 索引](./README.md)
## 入参
无(身份取自 Header token
## 出参
响应 `200`:`UserOut`。结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
- `401` 未带 token / token 无效或过期 / 用户被禁用
## 说明
+18
View File
@@ -0,0 +1,18 @@
# POST /api/v1/auth/refresh — 刷新 token
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:无(凭 body 里的 refresh_token | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `refresh_token` | string | ✅ | 有效的 refresh token |
## 出参
响应 `200`:`TokenPair`**注意:不含 `user` 字段**)。结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
- `401` refresh token 无效/过期/类型不对,或用户不存在/被禁用
## 说明
服务端校验 refresh token(验签 + 验过期 + 验类型为 refresh)并查库确认用户仍 active,然后签发**全新的** access+refresh 对。客户端在请求收到 401 时由 OkHttp `Authenticator` 自动调用。
+20
View File
@@ -0,0 +1,20 @@
# POST /api/v1/auth/sms/login — 手机号 + 验证码登录
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `phone` | string | ✅ | 手机号 `^1\d{10}$` |
| `code` | string | ✅ | 验证码,长度 48 |
## 出参
响应 `200`:`TokenWithUser``user.register_channel``"sms"`)。结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
- `400` 验证码错误
- `403` 账号被禁用
## 说明
mock 模式下任意 6 位数字均通过校验。注册即登录。
+24
View File
@@ -0,0 +1,24 @@
# POST /api/v1/auth/sms/send — 发送短信验证码
> 所属:Auth 组(前缀 `/api/v1/auth` | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
| `phone` | string | ✅ | 手机号,正则 `^1\d{10}$` |
## 出参
响应 `200`:
| 字段 | 类型 | 说明 |
|---|---|---|
| `sent` | bool | 是否已发送 |
| `mock` | bool | 是否 mock 模式(true 时不真发,任意 6 位通过) |
| `cooldown_sec` | int | 多少秒后才能再次发送 |
## 错误码
- `429` 发送过频(默认 60s 冷却内重复发)
## 说明
mock 模式(`SMS_MOCK=true`)下不真发短信,仅记录冷却时间。
+22
View File
@@ -0,0 +1,22 @@
# POST /api/v1/coupon/step — 一键领券任务步进(透传到 pricebot)
> 所属:Coupon 组(前缀 `/api/v1/coupon` | 鉴权:Bearer access_token | [← 返回 API 索引](./README.md)
## 入参
任意 JSON body,**不做 schema 校验**,原样透传给上游。后端仅从中读 `trace_id``step` 用于日志。
## 出参
pricebot-backend 的响应**原样返回**(JSON object)。
## 错误码
- `400` body 不是合法 JSON
- `502` pricebot 上游不可达(网络错误)或返回 5xx
## 说明
本服务只加一层 JWT 鉴权,把请求体原样转发到 `PRICEBOT_BASE_URL``/api/coupon/step`async httpx)。真正的领券逻辑在 **pricebot-backend(另一个 repo**,本接口是"鉴权壳 + 透传"。是产品"一键领券"的接入点,前端目前尚未对接。
这是后端**唯一需要 JWT 鉴权的业务接口**。
**相关配置**:
- `PRICEBOT_BASE_URL`(默认 `http://localhost:8000`
- `PRICEBOT_REQUEST_TIMEOUT_SEC`(默认 30s,因领券单帧最多 wait 6s
+15
View File
@@ -0,0 +1,15 @@
# GET /health — 健康检查
> 所属:Meta | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
## 出参
响应 `200`:`{ "status": "ok" }`
## 错误码
## 说明
+27
View File
@@ -0,0 +1,27 @@
# POST /api/v1/meituan/coupons — 券列表 / 搜索
> 所属:美团 CPS 组(前缀 `/api/v1/meituan`,**全部无鉴权** | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `longitude` | float | ✅ | — | 经度 |
| `latitude` | float | ✅ | — | 纬度 |
| `platform` | int | ❌ | 1 | 1=外卖/到家, 2=到店 |
| `biz_line` | int | ❌ | null | 到店子类:1到餐 2到综 3酒店 4门票 |
| `list_topic_id` | int | ❌ | 3 | 榜单:1精选 2今日必推 3爆款筛选 5限时筛选 |
| `keyword` | string | ❌ | null | 搜索词(**填了则忽略 `list_topic_id`,走搜索** |
| `sort_field` | int | ❌ | null | 1价格 2销量 6离我最近(搜索时默认 6) |
| `search_id` | string | ❌ | null | 翻页 token,首页不填 |
| `page` | int | ❌ | 1 | ≥1 |
| `page_size` | int | ❌ | 20 | 120 |
## 出参
响应 `200`:`{ items: CouponCard[], has_next: bool, search_id: string|null }``CouponCard` 结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
- `502` 美团接口失败
## 说明
当前 Android 客户端**未调用**此接口(搜索功能尚未实现),仅后端实现完整。
+23
View File
@@ -0,0 +1,23 @@
# POST /api/v1/meituan/feed — 首页混合推荐流
> 所属:美团 CPS 组(前缀 `/api/v1/meituan`,**全部无鉴权** | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `longitude` | float | ✅ | — | 经度 |
| `latitude` | float | ✅ | — | 纬度 |
| `page` | int | ❌ | 1 | ≥1 |
| `page_size` | int | ❌ | 20 | 120 |
## 出参
响应 `200`:`{ items: CouponCard[], has_next: bool, page: int }``CouponCard` 结构见 [API 索引](./README.md#复用数据结构)。
## 错误码
无(见"说明"中的可观测性盲区)
## 说明
后端在 `coupons` 之上封装的"伪推荐"——每页并发拉一次外卖、一次到店(到餐)榜单,按 **2 外卖 + 1 到店** 交叉去重。榜单组合写死 3 页(第1页爆款、第2页今日必推、第3页外卖精选+到店限时),**第 3 页起 `has_next=false`、第 4 页返空**。
⚠️ **可观测性盲区**:`feed` 内部对美团调用异常是静默吞掉返回空列表(不报 502、不打日志)。若 `items` 为空但无错误,优先用 `coupons` 接口逼出真实错误(它会以 502 暴露,如"MT_CPS_APP_KEY not configured")。
+29
View File
@@ -0,0 +1,29 @@
# POST /api/v1/meituan/referral-link — 换取推广链接
> 所属:美团 CPS 组(前缀 `/api/v1/meituan`,**全部无鉴权** | 鉴权:无 | [← 返回 API 索引](./README.md)
## 入参
| 字段 | 类型 | 必填 | 默认 | 说明 |
|---|---|---|---|---|
| `product_view_sign` | string | ✅ | — | 券的换链主键(来自 `CouponCard` |
| `platform` | int | ❌ | 1 | 1=外卖/到家, 2=到店 |
| `biz_line` | int | ❌ | null | 到店子类 |
| `sid` | string | ❌ | 服务端默认 `sgbjia` | 渠道追踪标识 |
| `link_type_list` | int[] | ❌ | `[1, 3]` | 1=H5长链 2=H5短链 3=deeplink |
## 出参
响应 `200`:
| 字段 | 类型 | 说明 |
|---|---|---|
| `link` | string | 默认推广链接(按 data > H5(1) > deeplink(3) > 任意 兜底) |
| `link_map` | object | 各类型链接 `{ "linkType": "url" }`,如 `{"1": "<H5>", "3": "<deeplink>"}` |
## 错误码
- `502` 美团接口失败
## 说明
客户端实际优先用 `link_map["3"]`deeplink)拉起美团 App,失败降级 `link_map["1"]`H5)。
⚠️ **安全**:`sid` 允许客户端传值覆盖服务端默认渠道,理论上他人可借本接口刷自己渠道的分佣;建议服务端锁定 `sid`、忽略客户端传值。
+40 -19
View File
@@ -2,21 +2,22 @@
> 域名:`app-api.shaguabijia.com`(HTTPS,nginx 反代)
> 仓库:`shaguabijia-app-server`
> 接口协议详见同目录 [`API.md`](./API.md)
> 接口协议详见 [`docs/api/`](./api/)(索引 + 一接口一文件)
> 最后更新:2026-05-27
---
## 1. 这个后端是干什么的
为正式版 App(`shaguabijia-app-android`,包名 `com.jishisongfu.shaguabijia`)提供块能力:
为正式版 App(`shaguabijia-app-android`,包名 `com.jishisongfu.shaguabijia`)提供块能力:
| 能力 | 说明 |
|---|---|
| **账号与登录** | 极光一键登录 + 短信验证码登录(mock)→ 签发 JWT |
| **美团 CPS 选品** | 透传美团联盟优惠券(外卖/到店)、点击换取推广链接(分佣) |
| **领券透传** | `/coupon/step` 加 JWT 鉴权后转发到 pricebot-backend(一键领券核心,前端待接入) |
**没有"比价"实现**——名字叫比价,实质是美团券聚合 + CPS 分佣。无爬虫、无 LLM、无积分/提现/钱包,数据模型仅一张 `user` 表(美团数据实时透传不落库)。
**本服务自身没有"比价"实现**——名字叫比价,实质是:登录态 + 美团券聚合分佣 + 给真正的领券/比价核心(pricebot-backend,另一个 repo)做"鉴权 + 透传壳"。无爬虫、无 LLM、无积分/提现/钱包,数据模型仅一张 `user` 表(美团数据与领券请求均实时透传不落库)。
---
@@ -32,7 +33,7 @@
| DB | SQLite 起步 | 改 `DATABASE_URL` 可切 PostgreSQL,无 Redis |
| Auth | PyJWT(HS256) | access + refresh |
| 极光 | httpx + cryptography | REST 验 token + RSA 解密手机号 |
| 美团 | httpx | 自实现 S-Ca 网关签名 |
| 美团 / pricebot | httpx(含 async) | 美团 S-Ca 网关签名;领券 async 透传 |
| 配置 | pydantic-settings | `.env` 加载 |
| 测试 | pytest + httpx TestClient | |
@@ -40,15 +41,16 @@
## 3. 分层架构与目录结构
标准 FastAPI 分层,一个请求自上而下穿过:**api(薄,收发) → services 级逻辑(目前内联在路由/集成里) → integrations(外部) / repositories(数据) → models / db**。
标准 FastAPI 分层,一个请求自上而下穿过:**api(薄,收发) → integrations(外部) / repositories(数据) → models / db**。
```
app/
├── main.py # FastAPI 入口:注册路由、CORS、/health、lifespan
├── main.py # FastAPI 入口:注册 3 个 router、CORS、/health、lifespan
├── api/
│ ├── deps.py # 共享依赖:get_current_user(鉴权)、get_db(注入 session)
│ └── v1/
│ ├── auth.py # 登录 6 个端点
│ ├── coupon.py # 领券透传 /coupon/step(转发 pricebot,唯一需鉴权的业务接口)
│ └── meituan.py # 美团 3 个端点 + feed 拼接逻辑(_interleave / _TOPIC_ROUNDS)
├── schemas/ # Pydantic:API 收发的数据契约(与客户端对齐字段看这里)
│ ├── auth.py
@@ -73,9 +75,10 @@ deploy/ # systemd(.service) + nginx(.conf)
secrets/ # 极光 RSA 私钥(不入 git,仅 .gitkeep 占位)
tests/ # pytest(conftest + test_auth + test_health)
run.sh # 本地启动脚本
docs/api/ # API 接口文档(索引 README + 一接口一文件)
```
> **命名说明**:`api/v1/` 的 `v1` 用于 URL 版本化(移动端无法强制即时升级,需新旧版本并存能力);`integrations` 装外部集成、`repositories` 装数据访问,与 `core`(基础设施)分离。
> **命名说明**:`api/v1/` 的 `v1` 用于 URL 版本化(移动端无法强制即时升级,需新旧版本并存能力);`integrations` 装外部集成、`repositories` 装数据访问,与 `core`(基础设施)分离。`coupon.py` 是领券透传,勿与 `meituan.py` 里的 `coupons`(券列表)混淆。
---
@@ -104,7 +107,7 @@ Android SDK loginAuth → 客户端拿到 loginToken
| RSA 私钥 | `secrets/jverify_rsa_private.pem`(PKCS#8,不入 git,`JG_PRIVATE_KEY_PATH` 指定,懒加载) |
> **密钥对配对关系是关键**:极光用控制台上传的公钥加密,后端必须用**配对的私钥**解密。私钥不配对时 `jverify-login` 报 502 `all RSA paddings failed`(密钥不对,非 padding 问题);私钥文件缺失则报 502 `private key not found`。
> **2026-05-27 现状**:历史遗留的两套本地密钥(`codes/secrets/jverification/`、`docs/试水版上架材料/`)均**不配对**当前 AppKey 公钥,已重新生成一对 1024-bit/PKCS#8 密钥,公钥需在极光控制台更新。⚠️ 该 AppKey 公钥为全局配置,若占坑版后端仍在用同一 AppKey,换公钥会使其旧私钥失效,需同步部署新私钥。
> **2026-05-27 现状**:历史遗留的两套本地密钥均**不配对**当前 AppKey 公钥,已重新生成一对 1024-bit/PKCS#8 密钥,公钥需在极光控制台更新。⚠️ 该 AppKey 公钥为全局配置,若占坑版后端仍在用同一 AppKey,换公钥会使其旧私钥失效,需同步部署新私钥。
### 4.2 短信登录(mock 路径)
@@ -147,7 +150,25 @@ POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过 → upsert
---
## 6. 数据模型
## 6. 领券透传(coupon/step)
产品"一键领券"的核心接入点,但**真正的领券逻辑不在本服务**——在另一个 repo `pricebot-backend`(GoalEngine + 事件驱动)。本服务只做"鉴权 + 透传壳"。
```
客户端 → POST /api/v1/coupon/step (Bearer access_token + 任意 JSON body)
→ coupon.py:get_current_user 校验 JWT(唯一需鉴权的业务接口)
→ async httpx 把 body 原样 POST 到 PRICEBOT_BASE_URL/api/coupon/step
→ 把 pricebot 的响应原样返回
```
- **不做 schema 校验**:body 原样透传,pricebot 自己校验(后端仅读 `trace_id`/`step` 打日志)。
- **错误**:body 非合法 JSON → 400;pricebot 不可达或返回 5xx → 502。
- **配置**:`PRICEBOT_BASE_URL`(默认 `http://localhost:8000`)、`PRICEBOT_REQUEST_TIMEOUT_SEC`(默认 30s,因领券单帧最多 wait 6s)。
- **现状**:接口已挂载可用,但**前端 ComparingScreen 仍是动画 demo、尚未对接此接口**;pricebot-backend 不在本目录。
---
## 7. 数据模型
仅一张 `user` 表(`models/user.py`):
@@ -165,32 +186,30 @@ POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过 → upsert
---
## 7. 配置与部署
## 8. 配置与部署
配置见 `core/config.py`(pydantic-settings 读 `.env`)。分组:环境、`DATABASE_URL`、JWT、极光(`JG_*`)、短信(`SMS_MOCK` 默认 true)、美团(`MT_CPS_*`)、CORS。
配置见 `core/config.py`(pydantic-settings 读 `.env`)。分组:环境、`DATABASE_URL`、JWT、极光(`JG_*`)、短信(`SMS_MOCK` 默认 true)、美团(`MT_CPS_*`)、**pricebot 上游(`PRICEBOT_BASE_URL` / `PRICEBOT_REQUEST_TIMEOUT_SEC`)**、CORS。
**生产部署**:systemd `shaguabijia-app-server.service`(WorkingDirectory `/opt/shaguabijia-app-server`,`EnvironmentFile=.env`,uvicorn 监听 `127.0.0.1:8770`,`--workers 1`)+ nginx 443 反代 → 8770。**无 Docker**。
```bash
# 同步代码(排除虚拟环境/数据/私钥)
rsync -avz --exclude='.venv' --exclude='__pycache__' --exclude='data' --exclude='secrets/*.pem' ./ server:/opt/shaguabijia-app-server/
# 私钥单独 scp(不入 git)
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/
# 迁移 + 重启
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/ # 私钥单独传,不入 git
ssh server "cd /opt/shaguabijia-app-server && .venv/bin/alembic upgrade head && systemctl restart shaguabijia-app-server"
```
**生产 checklist(均为上线必查)**:
- [ ] `JWT_SECRET_KEY` 改为高熵随机串(`python -c "import secrets;print(secrets.token_urlsafe(64))"`)——默认值 `change-me` 可被伪造 token
- [ ] `JWT_SECRET_KEY` 改为高熵随机串——默认值 `change-me` 可被伪造 token
- [ ] `SMS_MOCK=false` 并接真实短信供应商——mock 下任意 6 位码可登录任意手机号
- [ ] `MT_CPS_APP_KEY` / `MT_CPS_APP_SECRET` 已填(否则美团接口 502)
- [ ] `PRICEBOT_BASE_URL` 指向真实 pricebot-backend(否则领券 502)
- [ ] RSA 私钥就位且与极光控制台公钥**配对**,权限 600
- [ ] `APP_ENV=prod``APP_DEBUG=false`、nginx SSL 有效、`alembic upgrade head` 已执行
---
## 8. 本地联调(真机)
## 9. 本地联调(真机)
```bash
conda activate price # 首次:pip install -e .
@@ -205,14 +224,16 @@ conda activate price # 首次:pip install -e .
---
## 9. 已知问题与后续
## 10. 已知问题与后续
| 项 | 说明 |
|---|---|
| logout 无服务端失效 | 靠客户端清 token;后续加 jti 黑名单表 |
| 美团接口无鉴权 + sid 可覆盖 | 评估加鉴权/锁定 sid(注意首页要求未登录可见) |
| feed 静默吞异常 | 建议给 `_fetch_topic` 加日志,避免无声失败 |
| 领券依赖 pricebot | `coupon/step` 仅透传,真正逻辑在 pricebot-backend;前端尚未对接 |
| SMS 为 mock | 上线接真实供应商 + `SMS_MOCK=false` |
| 短信冷却存内存 | 扩 worker 前需迁移到 Redis |
| SQLite | 流量上来切 PostgreSQL,只改 `DATABASE_URL` |
| 文档可观测性 | API 协议见 `API.md`,以代码为准 |
> 完整接口协议(11 个)见 [`docs/api/`](./api/),以代码为准。