Files
shaguabijia-app-server/docs/后端技术实现.md
T
马润林 1aafc28621 feat: 正式 App 后端登录模块 v0.1.0
引入 JWT 认证、极光一键登录、短信 mock 登录与用户表,并补充技术实施文档与部署配置。

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-05-23 17:37:18 +08:00

7.6 KiB

傻瓜比价 App Server — 后端技术实现

域名:app-api.shaguabijia.com(HTTPS,nginx 反代) 仓库:shaguabijia-app-server 当前版本:v0.1.0(登录模块) 最后更新:2026-05-23


1. 本次实施范围

本阶段目标是搭正式 App 后端的账号与登录能力,供 Android 正式版(shaguabijia-app-android)对接。

已实现:

能力 状态 说明
极光一键登录 已联调 loginToken → 极光 REST 验真 → RSA 解密手机号 → 注册/登录
短信验证码登录 mock 可用 开发阶段任意 6 位通过,便于无短信供应商时联调
JWT 双 token access(2h) + refresh(30d)
用户表 + ORM SQLAlchemy 2.0 + Alembic
/me 鉴权 Bearer access_token
单元测试 health + sms 登录闭环 + refresh + 限流

未做(后续迭代):

  • 真实短信供应商(阿里云/腾讯云)
  • logout 服务端 token 黑名单(jti)
  • 昵称/头像修改、注销账号
  • PostgreSQL 生产切库(当前 SQLite 起步)

2. 与试验后台的关系

维度 试验后台 shaguabijia-server 正式后台 shaguabijia-app-server
域名 api.shaguabijia.com app-api.shaguabijia.com
数据库 stdlib sqlite3,手写 SQL SQLAlchemy 2.0 + Alembic
账号体系 仅占坑(phone 当 ID) User 表 + JWT
极光验 token 移植并增强
短信登录 mock
配置 硬编码 pydantic-settings + .env

极光一键登录的核心逻辑(REST 调用、RSA padding 试错顺序)直接参考试验后台 app/api/auth.py, 等价实现在 app/core/jiguang.py

试验后台 RSA 私钥部署在服务器 /opt/shaguabijia-server/secrets/jverify_rsa_private.pem(不入 git)。 正式后台因原私钥不可用,在极光控制台重新生成 1024-bit RSA 密钥对并上传公钥。


3. 技术栈

维度 选型 说明
语言 Python 3.11+ 本地开发用 3.13
Web FastAPI 0.115+ OpenAPI 自动生成
ASGI uvicorn[standard] 生产 --host 127.0.0.1 --port 8770
ORM SQLAlchemy 2.0 Mapped 新风格
迁移 Alembic render_as_batch 兼容 SQLite
DB SQLite 生产可改 DATABASE_URL 切 PostgreSQL
Auth PyJWT HS256,access + refresh
极光 httpx + cryptography REST 验 token + RSA 解密
配置 pydantic-settings .env 加载
测试 pytest + httpx TestClient 临时文件 SQLite

4. 登录链路

4.1 极光一键登录(主路径)

Android SDK loginAuth
    → 客户端拿到 loginToken
    → POST /api/v1/auth/jverify-login  { login_token, operator }
    → 后端 POST 极光 loginTokenVerify (Basic Auth = AppKey:MasterSecret)
    → 极光返回 RSA 加密的手机号(base64)
    → 后端用私钥解密(PKCS1v15,实测电信 CT 走此 padding)
    → upsert User(phone 唯一) → 签 JWT → 返回 TokenWithUser

关键配置(与 Android 端必须一致):

包名 com.jishisongfu.shaguabijia
极光 AppKey 966b451a8d9cfe12d173ea9d
RSA 公钥 极光控制台「加密公钥」(1024-bit,≤220 字符)
RSA 私钥 secrets/jverify_rsa_private.pem(不入 git)

RSA 密钥说明:

  • 密钥对由我方生成(openssl genrsa 1024),公钥上传极光控制台
  • 极光控制台限制公钥长度 ≤220 字符,因此用 1024-bit 而非 2048-bit
  • 私钥路径由 JG_PRIVATE_KEY_PATH 指定,懒加载;文件不存在时 jverify-login 返回 502

4.2 短信登录(mock 路径)

POST /api/v1/auth/sms/send   { phone }     → 60s 冷却,不真发短信
POST /api/v1/auth/sms/login  { phone, code } → 任意 6 位通过(SMS_MOCK=true)
    → upsert User → 签 JWT → 返回 TokenWithUser

4.3 Token 刷新

POST /api/v1/auth/refresh  { refresh_token }
    → 校验 refresh token → 签新 access+refresh 对

Android 端通过 OkHttp Authenticator 在 401 时自动调用。


5. 数据模型

User 表

字段 类型 说明
id INTEGER PK 自增
phone VARCHAR UNIQUE 手机号,登录主键
register_channel VARCHAR jverify / sms
nickname VARCHAR NULL 预留
avatar_url VARCHAR NULL 预留
status VARCHAR active / disabled
created_at DATETIME 注册时间
last_login_at DATETIME 最近登录

upsert_user_for_login:phone 存在则更新 last_login_at,不存在则注册。


6. API 一览

方法 路径 鉴权 说明
GET /health 健康检查
POST /api/v1/auth/jverify-login 极光一键登录
POST /api/v1/auth/sms/send 发短信(mock)
POST /api/v1/auth/sms/login 短信登录
POST /api/v1/auth/refresh 刷新 token
GET /api/v1/auth/me Bearer 当前用户
POST /api/v1/auth/logout Bearer 登出占位

Swagger UI: http://localhost:8770/docs


7. 目录结构

app/
├── main.py                 # FastAPI 入口,lifespan,CORS
├── core/
│   ├── config.py           # pydantic-settings
│   ├── security.py         # JWT 签发/校验
│   ├── jiguang.py          # 极光 REST + RSA 解密
│   └── sms.py              # 短信 mock(内存验证码)
├── db/
│   ├── base.py
│   └── session.py          # engine + get_db
├── models/user.py
├── schemas/auth.py
├── crud/user.py
└── api/
    ├── deps.py             # get_current_user
    └── v1/auth.py          # 登录路由

alembic/                    # 数据库迁移
deploy/                     # systemd + nginx
secrets/                    # RSA 私钥(不入 git)
tests/                      # pytest

8. 本地联调(真机 + LAN)

后端监听所有网卡,供同一 WiFi 下的测试机访问:

source .venv/bin/activate
uvicorn app.main:app --host 0.0.0.0 --port 8770 --reload

Android debug 包 BASE_URL 指向开发机 LAN IP(配置在 local.properties,不入 git):

debug.api.host=192.168.x.x
debug.api.port=8770

真机浏览器访问 http://192.168.x.x:8770/health 应返回 {"status":"ok"}


9. 部署要点

# 代码同步(排除 secrets 和 data)
rsync -avz --exclude='.venv' --exclude='data' --exclude='secrets/*.pem' \
    ./ server:/opt/shaguabijia-app-server/

# 私钥单独 scp(仅首次或轮换时)
scp secrets/jverify_rsa_private.pem server:/opt/shaguabijia-app-server/secrets/

# 迁移 + 重启
ssh server "cd /opt/shaguabijia-app-server && .venv/bin/alembic upgrade head && systemctl restart shaguabijia-app-server"

生产 checklist:

  • JWT_SECRET_KEY 换成随机长字符串
  • APP_ENV=prod, APP_DEBUG=false
  • RSA 私钥权限 chmod 600
  • nginx SSL 证书有效
  • alembic upgrade head 已执行

10. 已知问题与后续

说明
logout 无服务端失效 目前靠客户端清 token;后续可加 jti 黑名单表
SMS 为 mock 上线前需接真实短信供应商并设 SMS_MOCK=false
SQLite 并发 生产流量上来后切 PostgreSQL,只改 DATABASE_URL
极光 RSA 1024-bit 极光控制台限制所致;仅加密 11 位手机号,可接受

11. 联调验证记录(2026-05-23)

本地 LAN 联调已通过:

# 短信登录
POST /api/v1/auth/sms/login → 200, user_id=2, phone=177****82

# 极光一键登录
POST /api/v1/auth/jverify-login → 200, operator=CT, token_len=448
[JG] decrypted with padding=PKCS1v15
jverify_login ok user_id=3, phone=153****91

Android 端包名、签名、极光 AppKey 与控制台一致,SDK init 8000,loginAuth 6000。