docs: API 文档拆分为 docs/api/(索引+一接口一文件), 补全遗漏的 coupon/step
- 单文件 docs/API.md 拆成 docs/api/: README.md(传送门索引: 11 接口总览表 + 通用约定 + 复用结构) + 11 个一接口一文件, 便于接口增多后维护 - 补全此前 API.md 与技术文档均遗漏的核心接口 coupon-step.md (一键领券透传 pricebot-backend, 唯一需 JWT 鉴权的业务接口) - 更新 后端技术实现.md: 业务补"领券透传"块、目录补 coupon.py、新增 coupon/step 节、 配置补 PRICEBOT_*、接口索引改指向 docs/api/ Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
+40
-19
@@ -2,21 +2,22 @@
|
||||
|
||||
> 域名:`app-api.shaguabijia.com`(HTTPS,nginx 反代)
|
||||
> 仓库:`shaguabijia-app-server`
|
||||
> 接口协议详见同目录 [`API.md`](./API.md)
|
||||
> 接口协议详见 [`docs/api/`](./api/)(索引 + 一接口一文件)
|
||||
> 最后更新:2026-05-27
|
||||
|
||||
---
|
||||
|
||||
## 1. 这个后端是干什么的
|
||||
|
||||
为正式版 App(`shaguabijia-app-android`,包名 `com.jishisongfu.shaguabijia`)提供两块能力:
|
||||
为正式版 App(`shaguabijia-app-android`,包名 `com.jishisongfu.shaguabijia`)提供三块能力:
|
||||
|
||||
| 能力 | 说明 |
|
||||
|---|---|
|
||||
| **账号与登录** | 极光一键登录 + 短信验证码登录(mock)→ 签发 JWT |
|
||||
| **美团 CPS 选品** | 透传美团联盟优惠券(外卖/到店)、点击换取推广链接(分佣) |
|
||||
| **领券透传** | `/coupon/step` 加 JWT 鉴权后转发到 pricebot-backend(一键领券核心,前端待接入) |
|
||||
|
||||
**没有"比价"实现**——名字叫比价,实质是美团券聚合 + CPS 分佣。无爬虫、无 LLM、无积分/提现/钱包,数据模型仅一张 `user` 表(美团数据实时透传不落库)。
|
||||
**本服务自身没有"比价"实现**——名字叫比价,实质是:登录态 + 美团券聚合分佣 + 给真正的领券/比价核心(pricebot-backend,另一个 repo)做"鉴权 + 透传壳"。无爬虫、无 LLM、无积分/提现/钱包,数据模型仅一张 `user` 表(美团数据与领券请求均实时透传不落库)。
|
||||
|
||||
---
|
||||
|
||||
@@ -32,7 +33,7 @@
|
||||
| DB | SQLite 起步 | 改 `DATABASE_URL` 可切 PostgreSQL,无 Redis |
|
||||
| Auth | PyJWT(HS256) | access + refresh |
|
||||
| 极光 | httpx + cryptography | REST 验 token + RSA 解密手机号 |
|
||||
| 美团 | httpx | 自实现 S-Ca 网关签名 |
|
||||
| 美团 / pricebot | httpx(含 async) | 美团 S-Ca 网关签名;领券 async 透传 |
|
||||
| 配置 | pydantic-settings | `.env` 加载 |
|
||||
| 测试 | pytest + httpx TestClient | |
|
||||
|
||||
@@ -40,15 +41,16 @@
|
||||
|
||||
## 3. 分层架构与目录结构
|
||||
|
||||
标准 FastAPI 分层,一个请求自上而下穿过:**api(薄,收发) → services 级逻辑(目前内联在路由/集成里) → integrations(外部) / repositories(数据) → models / db**。
|
||||
标准 FastAPI 分层,一个请求自上而下穿过:**api(薄,收发) → integrations(外部) / repositories(数据) → models / db**。
|
||||
|
||||
```
|
||||
app/
|
||||
├── main.py # FastAPI 入口:注册路由、CORS、/health、lifespan
|
||||
├── main.py # FastAPI 入口:注册 3 个 router、CORS、/health、lifespan
|
||||
├── api/
|
||||
│ ├── deps.py # 共享依赖:get_current_user(鉴权)、get_db(注入 session)
|
||||
│ └── v1/
|
||||
│ ├── auth.py # 登录 6 个端点
|
||||
│ ├── coupon.py # 领券透传 /coupon/step(转发 pricebot,唯一需鉴权的业务接口)
|
||||
│ └── meituan.py # 美团 3 个端点 + feed 拼接逻辑(_interleave / _TOPIC_ROUNDS)
|
||||
├── schemas/ # Pydantic:API 收发的数据契约(与客户端对齐字段看这里)
|
||||
│ ├── auth.py
|
||||
@@ -73,9 +75,10 @@ deploy/ # systemd(.service) + nginx(.conf)
|
||||
secrets/ # 极光 RSA 私钥(不入 git,仅 .gitkeep 占位)
|
||||
tests/ # pytest(conftest + test_auth + test_health)
|
||||
run.sh # 本地启动脚本
|
||||
docs/api/ # API 接口文档(索引 README + 一接口一文件)
|
||||
```
|
||||
|
||||
> **命名说明**:`api/v1/` 的 `v1` 用于 URL 版本化(移动端无法强制即时升级,需新旧版本并存能力);`integrations` 装外部集成、`repositories` 装数据访问,与 `core`(基础设施)分离。
|
||||
> **命名说明**:`api/v1/` 的 `v1` 用于 URL 版本化(移动端无法强制即时升级,需新旧版本并存能力);`integrations` 装外部集成、`repositories` 装数据访问,与 `core`(基础设施)分离。`coupon.py` 是领券透传,勿与 `meituan.py` 里的 `coupons`(券列表)混淆。
|
||||
|
||||
---
|
||||
|
||||
@@ -104,7 +107,7 @@ Android SDK loginAuth → 客户端拿到 loginToken
|
||||
| RSA 私钥 | `secrets/jverify_rsa_private.pem`(PKCS#8,不入 git,`JG_PRIVATE_KEY_PATH` 指定,懒加载) |
|
||||
|
||||
> **密钥对配对关系是关键**:极光用控制台上传的公钥加密,后端必须用**配对的私钥**解密。私钥不配对时 `jverify-login` 报 502 `all RSA paddings failed`(密钥不对,非 padding 问题);私钥文件缺失则报 502 `private key not found`。
|
||||
> **2026-05-27 现状**:历史遗留的两套本地密钥(`codes/secrets/jverification/`、`docs/试水版上架材料/`)均**不配对**当前 AppKey 公钥,已重新生成一对 1024-bit/PKCS#8 密钥,公钥需在极光控制台更新。⚠️ 该 AppKey 公钥为全局配置,若占坑版后端仍在用同一 AppKey,换公钥会使其旧私钥失效,需同步部署新私钥。
|
||||
> **2026-05-27 现状**:历史遗留的两套本地密钥均**不配对**当前 AppKey 公钥,已重新生成一对 1024-bit/PKCS#8 密钥,公钥需在极光控制台更新。⚠️ 该 AppKey 公钥为全局配置,若占坑版后端仍在用同一 AppKey,换公钥会使其旧私钥失效,需同步部署新私钥。
|
||||
|
||||
### 4.2 短信登录(mock 路径)
|
||||
|
||||
@@ -147,7 +150,25 @@ POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过 → upsert
|
||||
|
||||
---
|
||||
|
||||
## 6. 数据模型
|
||||
## 6. 领券透传(coupon/step)
|
||||
|
||||
产品"一键领券"的核心接入点,但**真正的领券逻辑不在本服务**——在另一个 repo `pricebot-backend`(GoalEngine + 事件驱动)。本服务只做"鉴权 + 透传壳"。
|
||||
|
||||
```
|
||||
客户端 → POST /api/v1/coupon/step (Bearer access_token + 任意 JSON body)
|
||||
→ coupon.py:get_current_user 校验 JWT(唯一需鉴权的业务接口)
|
||||
→ async httpx 把 body 原样 POST 到 PRICEBOT_BASE_URL/api/coupon/step
|
||||
→ 把 pricebot 的响应原样返回
|
||||
```
|
||||
|
||||
- **不做 schema 校验**:body 原样透传,pricebot 自己校验(后端仅读 `trace_id`/`step` 打日志)。
|
||||
- **错误**:body 非合法 JSON → 400;pricebot 不可达或返回 5xx → 502。
|
||||
- **配置**:`PRICEBOT_BASE_URL`(默认 `http://localhost:8000`)、`PRICEBOT_REQUEST_TIMEOUT_SEC`(默认 30s,因领券单帧最多 wait 6s)。
|
||||
- **现状**:接口已挂载可用,但**前端 ComparingScreen 仍是动画 demo、尚未对接此接口**;pricebot-backend 不在本目录。
|
||||
|
||||
---
|
||||
|
||||
## 7. 数据模型
|
||||
|
||||
仅一张 `user` 表(`models/user.py`):
|
||||
|
||||
@@ -165,32 +186,30 @@ POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过 → upsert
|
||||
|
||||
---
|
||||
|
||||
## 7. 配置与部署
|
||||
## 8. 配置与部署
|
||||
|
||||
配置见 `core/config.py`(pydantic-settings 读 `.env`)。分组:环境、`DATABASE_URL`、JWT、极光(`JG_*`)、短信(`SMS_MOCK` 默认 true)、美团(`MT_CPS_*`)、CORS。
|
||||
配置见 `core/config.py`(pydantic-settings 读 `.env`)。分组:环境、`DATABASE_URL`、JWT、极光(`JG_*`)、短信(`SMS_MOCK` 默认 true)、美团(`MT_CPS_*`)、**pricebot 上游(`PRICEBOT_BASE_URL` / `PRICEBOT_REQUEST_TIMEOUT_SEC`)**、CORS。
|
||||
|
||||
**生产部署**:systemd `shaguabijia-app-server.service`(WorkingDirectory `/opt/shaguabijia-app-server`,`EnvironmentFile=.env`,uvicorn 监听 `127.0.0.1:8770`,`--workers 1`)+ nginx 443 反代 → 8770。**无 Docker**。
|
||||
|
||||
```bash
|
||||
# 同步代码(排除虚拟环境/数据/私钥)
|
||||
rsync -avz --exclude='.venv' --exclude='__pycache__' --exclude='data' --exclude='secrets/*.pem' ./ server:/opt/shaguabijia-app-server/
|
||||
# 私钥单独 scp(不入 git)
|
||||
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/
|
||||
# 迁移 + 重启
|
||||
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/ # 私钥单独传,不入 git
|
||||
ssh server "cd /opt/shaguabijia-app-server && .venv/bin/alembic upgrade head && systemctl restart shaguabijia-app-server"
|
||||
```
|
||||
|
||||
**生产 checklist(均为上线必查)**:
|
||||
|
||||
- [ ] `JWT_SECRET_KEY` 改为高熵随机串(`python -c "import secrets;print(secrets.token_urlsafe(64))"`)——默认值 `change-me` 可被伪造 token
|
||||
- [ ] `JWT_SECRET_KEY` 改为高熵随机串——默认值 `change-me` 可被伪造 token
|
||||
- [ ] `SMS_MOCK=false` 并接真实短信供应商——mock 下任意 6 位码可登录任意手机号
|
||||
- [ ] `MT_CPS_APP_KEY` / `MT_CPS_APP_SECRET` 已填(否则美团接口 502)
|
||||
- [ ] `PRICEBOT_BASE_URL` 指向真实 pricebot-backend(否则领券 502)
|
||||
- [ ] RSA 私钥就位且与极光控制台公钥**配对**,权限 600
|
||||
- [ ] `APP_ENV=prod`、`APP_DEBUG=false`、nginx SSL 有效、`alembic upgrade head` 已执行
|
||||
|
||||
---
|
||||
|
||||
## 8. 本地联调(真机)
|
||||
## 9. 本地联调(真机)
|
||||
|
||||
```bash
|
||||
conda activate price # 首次:pip install -e .
|
||||
@@ -205,14 +224,16 @@ conda activate price # 首次:pip install -e .
|
||||
|
||||
---
|
||||
|
||||
## 9. 已知问题与后续
|
||||
## 10. 已知问题与后续
|
||||
|
||||
| 项 | 说明 |
|
||||
|---|---|
|
||||
| logout 无服务端失效 | 靠客户端清 token;后续加 jti 黑名单表 |
|
||||
| 美团接口无鉴权 + sid 可覆盖 | 评估加鉴权/锁定 sid(注意首页要求未登录可见) |
|
||||
| feed 静默吞异常 | 建议给 `_fetch_topic` 加日志,避免无声失败 |
|
||||
| 领券依赖 pricebot | `coupon/step` 仅透传,真正逻辑在 pricebot-backend;前端尚未对接 |
|
||||
| SMS 为 mock | 上线接真实供应商 + `SMS_MOCK=false` |
|
||||
| 短信冷却存内存 | 扩 worker 前需迁移到 Redis |
|
||||
| SQLite | 流量上来切 PostgreSQL,只改 `DATABASE_URL` |
|
||||
| 文档可观测性 | API 协议见 `API.md`,以代码为准 |
|
||||
|
||||
> 完整接口协议(11 个)见 [`docs/api/`](./api/),以代码为准。
|
||||
|
||||
Reference in New Issue
Block a user