docs: 新增 API 接口文档 + 更新后端技术方案
- 新增 docs/API.md: 全部 10 个接口的完整协议(入参/出参/错误码/鉴权)、 复用结构(TokenPair/TokenWithUser/UserOut/CouponCard)、鉴权与刷新机制 - 更新 docs/后端技术实现.md: 目录结构同步重构后的 integrations/repositories 分层; 补美团 CPS 模块(S-Ca 签名/feed 2外卖1到店拼接/无鉴权与sid风险); 更新极光 RSA 密钥现状(旧密钥不配对、已重新生成); 补已知问题与上线 checklist(JWT secret/SMS_MOCK/feed 静默吞异常) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
+150
-182
@@ -1,69 +1,81 @@
|
||||
# 傻瓜比价 App Server — 后端技术实现
|
||||
# 傻瓜比价 App Server — 后端技术方案
|
||||
|
||||
> 域名:`app-api.shaguabijia.com`(HTTPS,nginx 反代)
|
||||
> 仓库:`shaguabijia-app-server`
|
||||
> 当前版本:v0.1.0(登录模块)
|
||||
> 最后更新:2026-05-23
|
||||
> 接口协议详见同目录 [`API.md`](./API.md)
|
||||
> 最后更新:2026-05-27
|
||||
|
||||
---
|
||||
|
||||
## 1. 本次实施范围
|
||||
## 1. 这个后端是干什么的
|
||||
|
||||
本阶段目标是搭正式 App 后端的**账号与登录**能力,供 Android 正式版(`shaguabijia-app-android`)对接。
|
||||
为正式版 App(`shaguabijia-app-android`,包名 `com.jishisongfu.shaguabijia`)提供两块能力:
|
||||
|
||||
已实现:
|
||||
| 能力 | 说明 |
|
||||
|---|---|
|
||||
| **账号与登录** | 极光一键登录 + 短信验证码登录(mock)→ 签发 JWT |
|
||||
| **美团 CPS 选品** | 透传美团联盟优惠券(外卖/到店)、点击换取推广链接(分佣) |
|
||||
|
||||
| 能力 | 状态 | 说明 |
|
||||
|---|---|---|
|
||||
| 极光一键登录 | ✅ 已联调 | `loginToken` → 极光 REST 验真 → RSA 解密手机号 → 注册/登录 |
|
||||
| 短信验证码登录 | ✅ mock 可用 | 开发阶段任意 6 位通过,便于无短信供应商时联调 |
|
||||
| JWT 双 token | ✅ | access(2h) + refresh(30d) |
|
||||
| 用户表 + ORM | ✅ | SQLAlchemy 2.0 + Alembic |
|
||||
| `/me` 鉴权 | ✅ | Bearer access_token |
|
||||
| 单元测试 | ✅ | health + sms 登录闭环 + refresh + 限流 |
|
||||
|
||||
未做(后续迭代):
|
||||
|
||||
- 真实短信供应商(阿里云/腾讯云)
|
||||
- logout 服务端 token 黑名单(jti)
|
||||
- 昵称/头像修改、注销账号
|
||||
- PostgreSQL 生产切库(当前 SQLite 起步)
|
||||
**没有"比价"实现**——名字叫比价,实质是美团券聚合 + CPS 分佣。无爬虫、无 LLM、无积分/提现/钱包,数据模型仅一张 `user` 表(美团数据实时透传不落库)。
|
||||
|
||||
---
|
||||
|
||||
## 2. 与试验后台的关系
|
||||
|
||||
| 维度 | 试验后台 `shaguabijia-server` | 正式后台 `shaguabijia-app-server` |
|
||||
|---|---|---|
|
||||
| 域名 | `api.shaguabijia.com` | `app-api.shaguabijia.com` |
|
||||
| 数据库 | stdlib sqlite3,手写 SQL | SQLAlchemy 2.0 + Alembic |
|
||||
| 账号体系 | 仅占坑(phone 当 ID) | User 表 + JWT |
|
||||
| 极光验 token | ✅ 有 | ✅ 移植并增强 |
|
||||
| 短信登录 | ❌ | ✅ mock |
|
||||
| 配置 | 硬编码 | pydantic-settings + `.env` |
|
||||
|
||||
**极光一键登录的核心逻辑**(REST 调用、RSA padding 试错顺序)直接参考试验后台 `app/api/auth.py`,
|
||||
等价实现在 `app/core/jiguang.py`。
|
||||
|
||||
试验后台 RSA 私钥部署在服务器 `/opt/shaguabijia-server/secrets/jverify_rsa_private.pem`(不入 git)。
|
||||
正式后台因原私钥不可用,在极光控制台**重新生成 1024-bit RSA 密钥对**并上传公钥。
|
||||
|
||||
---
|
||||
|
||||
## 3. 技术栈
|
||||
## 2. 技术栈
|
||||
|
||||
| 维度 | 选型 | 说明 |
|
||||
|---|---|---|
|
||||
| 语言 | Python 3.11+ | 本地开发用 3.13 |
|
||||
| Web | FastAPI 0.115+ | OpenAPI 自动生成 |
|
||||
| 语言 | Python ≥3.10 | 本地开发用 conda 环境 `price` |
|
||||
| Web | FastAPI 0.115+ | OpenAPI 自动生成(非 prod 开 `/docs`) |
|
||||
| ASGI | uvicorn[standard] | 生产 `--host 127.0.0.1 --port 8770` |
|
||||
| ORM | SQLAlchemy 2.0 | Mapped 新风格 |
|
||||
| 迁移 | Alembic | `render_as_batch` 兼容 SQLite |
|
||||
| DB | SQLite | 生产可改 `DATABASE_URL` 切 PostgreSQL |
|
||||
| Auth | PyJWT | HS256,access + refresh |
|
||||
| 极光 | httpx + cryptography | REST 验 token + RSA 解密 |
|
||||
| ORM | SQLAlchemy 2.0(Mapped 风格) | |
|
||||
| 迁移 | Alembic | |
|
||||
| DB | SQLite 起步 | 改 `DATABASE_URL` 可切 PostgreSQL,无 Redis |
|
||||
| Auth | PyJWT(HS256) | access + refresh |
|
||||
| 极光 | httpx + cryptography | REST 验 token + RSA 解密手机号 |
|
||||
| 美团 | httpx | 自实现 S-Ca 网关签名 |
|
||||
| 配置 | pydantic-settings | `.env` 加载 |
|
||||
| 测试 | pytest + httpx TestClient | 临时文件 SQLite |
|
||||
| 测试 | pytest + httpx TestClient | |
|
||||
|
||||
---
|
||||
|
||||
## 3. 分层架构与目录结构
|
||||
|
||||
标准 FastAPI 分层,一个请求自上而下穿过:**api(薄,收发) → services 级逻辑(目前内联在路由/集成里) → integrations(外部) / repositories(数据) → models / db**。
|
||||
|
||||
```
|
||||
app/
|
||||
├── main.py # FastAPI 入口:注册路由、CORS、/health、lifespan
|
||||
├── api/
|
||||
│ ├── deps.py # 共享依赖:get_current_user(鉴权)、get_db(注入 session)
|
||||
│ └── v1/
|
||||
│ ├── auth.py # 登录 6 个端点
|
||||
│ └── meituan.py # 美团 3 个端点 + feed 拼接逻辑(_interleave / _TOPIC_ROUNDS)
|
||||
├── schemas/ # Pydantic:API 收发的数据契约(与客户端对齐字段看这里)
|
||||
│ ├── auth.py
|
||||
│ └── meituan.py
|
||||
├── integrations/ # 外部服务客户端(2026-05 从 core 拆出)
|
||||
│ ├── jiguang.py # 极光 REST 验 token + RSA 解密(多 padding 试错)
|
||||
│ ├── meituan.py # 美团 CPS 网关签名 + query_coupon / get_referral_link
|
||||
│ └── sms.py # 短信验证码(mock,进程内存冷却表)
|
||||
├── core/ # 基础设施(仅保留)
|
||||
│ ├── config.py # pydantic-settings
|
||||
│ ├── security.py # JWT 签发/校验
|
||||
│ └── logging.py
|
||||
├── repositories/ # 数据访问(2026-05 由 crud 改名)
|
||||
│ └── user.py # get_user_by_id / get_user_by_phone / upsert_user_for_login
|
||||
├── models/user.py # ORM:user 表结构
|
||||
└── db/
|
||||
├── base.py # DeclarativeBase
|
||||
└── session.py # engine + get_db
|
||||
|
||||
alembic/ # 数据库迁移(versions/ 目前仅 init_user_table)
|
||||
deploy/ # systemd(.service) + nginx(.conf)
|
||||
secrets/ # 极光 RSA 私钥(不入 git,仅 .gitkeep 占位)
|
||||
tests/ # pytest(conftest + test_auth + test_health)
|
||||
run.sh # 本地启动脚本
|
||||
```
|
||||
|
||||
> **命名说明**:`api/v1/` 的 `v1` 用于 URL 版本化(移动端无法强制即时升级,需新旧版本并存能力);`integrations` 装外部集成、`repositories` 装数据访问,与 `core`(基础设施)分离。
|
||||
|
||||
---
|
||||
|
||||
@@ -72,179 +84,135 @@
|
||||
### 4.1 极光一键登录(主路径)
|
||||
|
||||
```
|
||||
Android SDK loginAuth
|
||||
→ 客户端拿到 loginToken
|
||||
→ POST /api/v1/auth/jverify-login { login_token, operator }
|
||||
→ 后端 POST 极光 loginTokenVerify (Basic Auth = AppKey:MasterSecret)
|
||||
→ 极光返回 RSA 加密的手机号(base64)
|
||||
→ 后端用私钥解密(PKCS1v15,实测电信 CT 走此 padding)
|
||||
→ upsert User(phone 唯一) → 签 JWT → 返回 TokenWithUser
|
||||
Android SDK loginAuth → 客户端拿到 loginToken
|
||||
→ POST /api/v1/auth/jverify-login { login_token, operator }
|
||||
→ 后端 POST 极光 loginTokenVerify (Basic Auth = AppKey:MasterSecret)
|
||||
→ 极光返回 RSA 公钥加密的手机号(base64)
|
||||
→ 后端用配套私钥解密 → 明文手机号
|
||||
→ upsert_user_for_login(phone 唯一) → 签 JWT → 返回 TokenWithUser
|
||||
```
|
||||
|
||||
**关键配置**(与 Android 端必须一致):
|
||||
**RSA 解密**(`integrations/jiguang.py` 的 `_decrypt_phone`):极光文档未明示 padding,代码按 **OAEP-SHA1 → OAEP-SHA256 → PKCS1v15** 依次试,解出 11 位纯数字手机号即采用(PKCS1v15 对错误密文会"假成功"返回非 UTF-8 垃圾,据此跳过)。
|
||||
|
||||
**关键配置**(须与 Android 端一致):
|
||||
|
||||
| 项 | 值 |
|
||||
|---|---|
|
||||
| 包名 | `com.jishisongfu.shaguabijia` |
|
||||
| 极光 AppKey | `966b451a8d9cfe12d173ea9d` |
|
||||
| RSA 公钥 | 极光控制台「加密公钥」(1024-bit,≤220 字符) |
|
||||
| RSA 私钥 | `secrets/jverify_rsa_private.pem`(不入 git) |
|
||||
| 极光 AppKey | `966b451a8d9cfe12d173ea9d`(`JG_APP_KEY`) |
|
||||
| RSA 公钥 | 极光控制台「加密公钥」(**1024-bit**,极光限制 ≤220 字符) |
|
||||
| RSA 私钥 | `secrets/jverify_rsa_private.pem`(PKCS#8,不入 git,`JG_PRIVATE_KEY_PATH` 指定,懒加载) |
|
||||
|
||||
**RSA 密钥说明**:
|
||||
|
||||
- 密钥对由我方生成(`openssl genrsa 1024`),公钥上传极光控制台
|
||||
- 极光控制台限制公钥长度 ≤220 字符,因此用 **1024-bit** 而非 2048-bit
|
||||
- 私钥路径由 `JG_PRIVATE_KEY_PATH` 指定,懒加载;文件不存在时 `jverify-login` 返回 502
|
||||
> **密钥对配对关系是关键**:极光用控制台上传的公钥加密,后端必须用**配对的私钥**解密。私钥不配对时 `jverify-login` 报 502 `all RSA paddings failed`(密钥不对,非 padding 问题);私钥文件缺失则报 502 `private key not found`。
|
||||
> **2026-05-27 现状**:历史遗留的两套本地密钥(`codes/secrets/jverification/`、`docs/试水版上架材料/`)均**不配对**当前 AppKey 公钥,已重新生成一对 1024-bit/PKCS#8 密钥,公钥需在极光控制台更新。⚠️ 该 AppKey 公钥为全局配置,若占坑版后端仍在用同一 AppKey,换公钥会使其旧私钥失效,需同步部署新私钥。
|
||||
|
||||
### 4.2 短信登录(mock 路径)
|
||||
|
||||
```
|
||||
POST /api/v1/auth/sms/send { phone } → 60s 冷却,不真发短信
|
||||
POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过(SMS_MOCK=true)
|
||||
→ upsert User → 签 JWT → 返回 TokenWithUser
|
||||
POST /api/v1/auth/sms/send { phone } → 60s 冷却,不真发(SMS_MOCK=true)
|
||||
POST /api/v1/auth/sms/login { phone, code } → 任意 6 位通过 → upsert → 签 JWT
|
||||
```
|
||||
|
||||
### 4.3 Token 刷新
|
||||
短信冷却表存进程内存(`--workers 1` 下够用,多 worker/重启即失效)。
|
||||
|
||||
```
|
||||
POST /api/v1/auth/refresh { refresh_token }
|
||||
→ 校验 refresh token → 签新 access+refresh 对
|
||||
```
|
||||
### 4.3 Token 与刷新
|
||||
|
||||
Android 端通过 OkHttp `Authenticator` 在 401 时自动调用。
|
||||
- access(2h)+ refresh(30d),HS256 自包含,payload 含 `sub`/`typ`/`iat`/`exp`,**无 session 表、无 jti 黑名单**。
|
||||
- `refresh` 校验 token + 查库确认用户 active 后,签发**全新一对**。
|
||||
- 客户端 OkHttp `Authenticator` 在 401 时自动调 `/refresh` 续期重放。
|
||||
- `logout` 为占位(服务端不吊销 token)。
|
||||
|
||||
---
|
||||
|
||||
## 5. 数据模型
|
||||
## 5. 美团 CPS
|
||||
|
||||
### User 表
|
||||
### 5.1 网关签名(`integrations/meituan.py` 的 `_sign` / `_call`)
|
||||
|
||||
类阿里云 S-Ca 网关签名,**stringToSign 只有 4 段**:`METHOD\n + Content-MD5\n + 排序后的 signed_headers + path`,**不含 Accept / Content-Type / Date 行**(加了签名失败)。头:`S-Ca-App`(=appkey)、`S-Ca-Timestamp`、`S-Ca-Signature`、`S-Ca-Signature-Headers`。配置项 `MT_CPS_APP_KEY` / `MT_CPS_APP_SECRET` / `MT_CPS_DEFAULT_SID`(默认 `sgbjia`)。
|
||||
|
||||
> 美团请求字段 `listTopiId`(少个 c)是官方拼写,非笔误。经纬度 `*1_000_000` 取整。
|
||||
|
||||
### 5.2 三个接口
|
||||
|
||||
- `query_coupon`:底层取数,被 `coupons` 路由和 `feed` 路由共用。
|
||||
- `coupons` 路由:对外的搜索/榜单接口,**客户端暂未接入**。
|
||||
- `feed` 路由:首页推荐流,每页并发拉外卖(platform=1)+ 到店(platform=2,到餐)各一次,按 **2 外卖 + 1 到店** 交叉去重(`_interleave`);榜单组合写死 3 页(`_TOPIC_ROUNDS`:爆款 / 今日必推 / 外卖精选+到店限时),第 3 页 `has_next=false`、第 4 页返空。
|
||||
- `referral-link`:换推广链接,客户端取 `link_map["3"]`(deeplink)优先跳美团 App。
|
||||
|
||||
### 5.3 风险点
|
||||
|
||||
- **三接口无鉴权**:任何人可调,消耗你的美团 appkey 能力/配额。
|
||||
- **`sid` 可被客户端覆盖**:他人可借接口刷自己渠道分佣,建议服务端锁定。
|
||||
- **`feed` 静默吞异常**:`_fetch_topic` 对美团错误 `except 返回 []` 且不打日志,导致美团失败时 `feed` 返回"200 + 空 items"无声失败。排查时改用 `coupons`(它以 502 暴露错误)。
|
||||
|
||||
---
|
||||
|
||||
## 6. 数据模型
|
||||
|
||||
仅一张 `user` 表(`models/user.py`):
|
||||
|
||||
| 字段 | 类型 | 说明 |
|
||||
|---|---|---|
|
||||
| id | INTEGER PK | 自增 |
|
||||
| phone | VARCHAR UNIQUE | 手机号,登录主键 |
|
||||
| register_channel | VARCHAR | `jverify` / `sms` |
|
||||
| nickname | VARCHAR NULL | 预留 |
|
||||
| avatar_url | VARCHAR NULL | 预留 |
|
||||
| status | VARCHAR | `active` / `disabled` |
|
||||
| created_at | DATETIME | 注册时间 |
|
||||
| last_login_at | DATETIME | 最近登录 |
|
||||
| phone | VARCHAR(20) UNIQUE | 登录主键,唯一索引 `ix_user_phone` |
|
||||
| register_channel | VARCHAR(20) | `jverify` / `sms` |
|
||||
| nickname | VARCHAR(64) NULL | 预留,**无接口可写,恒为 null** |
|
||||
| avatar_url | VARCHAR(512) NULL | 同上 |
|
||||
| status | VARCHAR(20) | `active` / `disabled` / `deleted`,仅 active 可登录/鉴权 |
|
||||
| created_at / last_login_at | DATETIME(tz) | |
|
||||
|
||||
`upsert_user_for_login`:phone 存在则更新 `last_login_at`,不存在则注册。
|
||||
`upsert_user_for_login`:phone 存在则更新 `last_login_at`,不存在则注册(注册即登录)。Alembic 实际库里另有框架表 `alembic_version`。
|
||||
|
||||
---
|
||||
|
||||
## 6. API 一览
|
||||
## 7. 配置与部署
|
||||
|
||||
| 方法 | 路径 | 鉴权 | 说明 |
|
||||
|---|---|---|---|
|
||||
| GET | `/health` | 无 | 健康检查 |
|
||||
| POST | `/api/v1/auth/jverify-login` | 无 | 极光一键登录 |
|
||||
| POST | `/api/v1/auth/sms/send` | 无 | 发短信(mock) |
|
||||
| POST | `/api/v1/auth/sms/login` | 无 | 短信登录 |
|
||||
| POST | `/api/v1/auth/refresh` | 无 | 刷新 token |
|
||||
| GET | `/api/v1/auth/me` | Bearer | 当前用户 |
|
||||
| POST | `/api/v1/auth/logout` | Bearer | 登出占位 |
|
||||
配置见 `core/config.py`(pydantic-settings 读 `.env`)。分组:环境、`DATABASE_URL`、JWT、极光(`JG_*`)、短信(`SMS_MOCK` 默认 true)、美团(`MT_CPS_*`)、CORS。
|
||||
|
||||
Swagger UI: `http://localhost:8770/docs`
|
||||
|
||||
---
|
||||
|
||||
## 7. 目录结构
|
||||
|
||||
```
|
||||
app/
|
||||
├── main.py # FastAPI 入口,lifespan,CORS
|
||||
├── core/
|
||||
│ ├── config.py # pydantic-settings
|
||||
│ ├── security.py # JWT 签发/校验
|
||||
│ ├── jiguang.py # 极光 REST + RSA 解密
|
||||
│ └── sms.py # 短信 mock(内存验证码)
|
||||
├── db/
|
||||
│ ├── base.py
|
||||
│ └── session.py # engine + get_db
|
||||
├── models/user.py
|
||||
├── schemas/auth.py
|
||||
├── crud/user.py
|
||||
└── api/
|
||||
├── deps.py # get_current_user
|
||||
└── v1/auth.py # 登录路由
|
||||
|
||||
alembic/ # 数据库迁移
|
||||
deploy/ # systemd + nginx
|
||||
secrets/ # RSA 私钥(不入 git)
|
||||
tests/ # pytest
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## 8. 本地联调(真机 + LAN)
|
||||
|
||||
后端监听所有网卡,供同一 WiFi 下的测试机访问:
|
||||
**生产部署**:systemd `shaguabijia-app-server.service`(WorkingDirectory `/opt/shaguabijia-app-server`,`EnvironmentFile=.env`,uvicorn 监听 `127.0.0.1:8770`,`--workers 1`)+ nginx 443 反代 → 8770。**无 Docker**。
|
||||
|
||||
```bash
|
||||
source .venv/bin/activate
|
||||
uvicorn app.main:app --host 0.0.0.0 --port 8770 --reload
|
||||
```
|
||||
|
||||
Android debug 包 `BASE_URL` 指向开发机 LAN IP(配置在 `local.properties`,不入 git):
|
||||
|
||||
```
|
||||
debug.api.host=192.168.x.x
|
||||
debug.api.port=8770
|
||||
```
|
||||
|
||||
真机浏览器访问 `http://192.168.x.x:8770/health` 应返回 `{"status":"ok"}`。
|
||||
|
||||
---
|
||||
|
||||
## 9. 部署要点
|
||||
|
||||
```bash
|
||||
# 代码同步(排除 secrets 和 data)
|
||||
rsync -avz --exclude='.venv' --exclude='data' --exclude='secrets/*.pem' \
|
||||
./ server:/opt/shaguabijia-app-server/
|
||||
|
||||
# 私钥单独 scp(仅首次或轮换时)
|
||||
# 同步代码(排除虚拟环境/数据/私钥)
|
||||
rsync -avz --exclude='.venv' --exclude='__pycache__' --exclude='data' --exclude='secrets/*.pem' ./ server:/opt/shaguabijia-app-server/
|
||||
# 私钥单独 scp(不入 git)
|
||||
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/
|
||||
|
||||
# 迁移 + 重启
|
||||
ssh server "cd /opt/shaguabijia-app-server && .venv/bin/alembic upgrade head && systemctl restart shaguabijia-app-server"
|
||||
```
|
||||
|
||||
生产 checklist:
|
||||
**生产 checklist(均为上线必查)**:
|
||||
|
||||
- [ ] `JWT_SECRET_KEY` 换成随机长字符串
|
||||
- [ ] `APP_ENV=prod`, `APP_DEBUG=false`
|
||||
- [ ] RSA 私钥权限 `chmod 600`
|
||||
- [ ] nginx SSL 证书有效
|
||||
- [ ] `alembic upgrade head` 已执行
|
||||
- [ ] `JWT_SECRET_KEY` 改为高熵随机串(`python -c "import secrets;print(secrets.token_urlsafe(64))"`)——默认值 `change-me` 可被伪造 token
|
||||
- [ ] `SMS_MOCK=false` 并接真实短信供应商——mock 下任意 6 位码可登录任意手机号
|
||||
- [ ] `MT_CPS_APP_KEY` / `MT_CPS_APP_SECRET` 已填(否则美团接口 502)
|
||||
- [ ] RSA 私钥就位且与极光控制台公钥**配对**,权限 600
|
||||
- [ ] `APP_ENV=prod`、`APP_DEBUG=false`、nginx SSL 有效、`alembic upgrade head` 已执行
|
||||
|
||||
---
|
||||
|
||||
## 10. 已知问题与后续
|
||||
## 8. 本地联调(真机)
|
||||
|
||||
```bash
|
||||
conda activate price # 首次:pip install -e .
|
||||
./run.sh # 校验 .env → alembic 建表 → uvicorn 监听 0.0.0.0:8770
|
||||
```
|
||||
|
||||
真机两种连法(详见前端文档):
|
||||
- **adb reverse**(推荐):`adb reverse tcp:8770 tcp:8770`,前端 `debug.api.host=127.0.0.1`,USB 直连不依赖 WiFi。
|
||||
- **局域网 IP**:前端 `debug.api.host=<开发机 LAN IP>`,手机电脑同 WiFi。
|
||||
|
||||
前端 debug 包对明文 HTTP 整体放行(`src/debug` 的 network_security_config),换 IP 只改 `local.properties`、无需改 xml。
|
||||
|
||||
---
|
||||
|
||||
## 9. 已知问题与后续
|
||||
|
||||
| 项 | 说明 |
|
||||
|---|---|
|
||||
| logout 无服务端失效 | 目前靠客户端清 token;后续可加 jti 黑名单表 |
|
||||
| SMS 为 mock | 上线前需接真实短信供应商并设 `SMS_MOCK=false` |
|
||||
| SQLite 并发 | 生产流量上来后切 PostgreSQL,只改 `DATABASE_URL` |
|
||||
| 极光 RSA 1024-bit | 极光控制台限制所致;仅加密 11 位手机号,可接受 |
|
||||
|
||||
---
|
||||
|
||||
## 11. 联调验证记录(2026-05-23)
|
||||
|
||||
本地 LAN 联调已通过:
|
||||
|
||||
```
|
||||
# 短信登录
|
||||
POST /api/v1/auth/sms/login → 200, user_id=2, phone=177****82
|
||||
|
||||
# 极光一键登录
|
||||
POST /api/v1/auth/jverify-login → 200, operator=CT, token_len=448
|
||||
[JG] decrypted with padding=PKCS1v15
|
||||
jverify_login ok user_id=3, phone=153****91
|
||||
```
|
||||
|
||||
Android 端包名、签名、极光 AppKey 与控制台一致,SDK init 8000,loginAuth 6000。
|
||||
| logout 无服务端失效 | 靠客户端清 token;后续加 jti 黑名单表 |
|
||||
| 美团接口无鉴权 + sid 可覆盖 | 评估加鉴权/锁定 sid(注意首页要求未登录可见) |
|
||||
| feed 静默吞异常 | 建议给 `_fetch_topic` 加日志,避免无声失败 |
|
||||
| SMS 为 mock | 上线接真实供应商 + `SMS_MOCK=false` |
|
||||
| 短信冷却存内存 | 扩 worker 前需迁移到 Redis |
|
||||
| SQLite | 流量上来切 PostgreSQL,只改 `DATABASE_URL` |
|
||||
| 文档可观测性 | API 协议见 `API.md`,以代码为准 |
|
||||
|
||||
Reference in New Issue
Block a user