93f052535e
按 mentor 要求精简 SMS 登录链路的防刷策略,只保留两道主策略: - 单号 60s 冷却(发码,SMS_SEND_INTERVAL_SEC) - 单设备(device_id + IP)每小时 5 次频控(发码 + 登录,enforce_rate_limit) 删除两道: - 单号每日发送上限(SMS_DAILY_LIMIT_PER_PHONE) - 登录接口纯 IP 20 次/分钟限流(rate_limit 依赖) 验证码安全底线保留(一次性使用 + 输错 SMS_MAX_VERIFY_ATTEMPTS 次即作废), 属验证码正确性、不算限流策略,不在精简范围。 顺带清理:sms.py 移除 _daily_count/_today 及 datetime 导入;config.py 删常量; auth.py 清理变为无用的 Depends/rate_limit 导入;同步 docs/integrations/sms.md 与 docs/后端技术实现.md 的防刷说明(并修正 sms.md 里已过时的 /sms/send rate_limit 描述)。 影响:单号发码上限由 10 条/天放宽为仅受 60s 冷却约束;登录撞库防护改由设备频控 + 验证码错误次数上限兜底。test_auth.py 相应用例已删除/更新,auth 测试全绿。 Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com> --------- Co-authored-by: zzhyyyyy <2685922758@qq.com> Reviewed-on: #109 Co-authored-by: zhuzihao <zhuzihao@wonderable.ai> Co-committed-by: zhuzihao <zhuzihao@wonderable.ai>
集成层(integrations)文档 — 索引
本目录记录
app/integrations/下各第三方 SDK / 外部服务的集成内部实现:签名、加解密、协议细节、配置项、踩坑。 与 docs/api/ 的区别:docs/api/描述对外 HTTP 接口契约(入参/出参/错误码);本目录描述接口背后调外部服务的重逻辑。
架构约定
app/api/v1/接口层只放很轻的东西:解析请求 → 调 repositories/integration → 组装响应 + HTTP 错误码映射。- 集成 SDK 的重逻辑(签名/验签/加解密/外部 HTTP 调用)一律放
app/integrations/。换签名方案、换供应商只动这一层,api 层不受影响。 - 集成模块统一从
app.core.config.settings读配置;密钥/证书懒加载(文件缺失不在 import 时炸进程,只在真正调用时抛各自的XxxError)。
集成清单
| 模块 | 文件 | 用途 | 关联 API 文档 |
|---|---|---|---|
| 极光 jiguang | app/integrations/jiguang.py |
一键登录服务端核验 + RSA 解密手机号 | auth-jverify-login |
| 短信 sms | app/integrations/sms.py |
验证码发送 / 校验(当前 mock) | auth-sms-send · auth-sms-login |
| 美团 meituan | app/integrations/meituan.py |
CPS 券查询 / 换推广链 | meituan-coupons · meituan-feed · meituan-referral-link |
| 穿山甲 pangle | app/integrations/pangle.py |
激励视频发奖回调验签 | ad-pangle-callback |
| 微信支付 wxpay | app/integrations/wxpay.py |
商家转账到零钱(提现)+ code 换 openid(绑定) | wallet-withdraw 等 |