chick
f66540a273
feat: add sub2api compatibility
2026-06-01 23:43:53 +08:00
kunkun
5f59b4bed3
Merge pull request #20 from aaronjmars/security/open-redirect-guard
...
fix(security): block open redirect in login redirect target
2026-06-01 11:17:39 +08:00
aeonframework
5ca5b72b01
fix(security): block open redirect in login redirect target
...
The login redirect accepted any value beginning with a single slash, so a
protocol-relative URL such as "//evil.com" (or a backslash variant) slipped
through and the browser resolved it to an external site. Both the Go OAuth
state decoder and the web login page used the same prefix-only check, so an
attacker could send a victim to /login?redirect=//evil.com — or supply it via
the Linux.do OAuth redirect param — and bounce them off-site after login.
Harden both layers: strip Tab/CR/LF (which browsers ignore inside URLs) and
reject protocol-relative and backslash-prefixed targets, allowing only genuine
same-site relative paths.
Detected by Aeon + semgrep (go.lang.security.injection.open-redirect).
Severity: medium
CWE-601 (URL Redirection to Untrusted Site)
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com >
2026-05-27 20:06:22 +00:00
stupid-h4er
4bffb55695
feat: add seedance media params and model visibility
2026-05-27 13:02:36 +08:00
stupid-h4er
871bedc072
fix: add timeout for admin channel probes
2026-05-27 11:00:20 +08:00
stupid-h4er
3be0df0df6
fix: clarify ark agent plan model discovery
2026-05-27 10:52:59 +08:00
stupid-h4er
fa9a3c1920
fix: normalize ark agent plan base url
2026-05-27 10:08:01 +08:00
stupid-h4er
1b557a86d7
fix: skip text test for ark seedance channels
2026-05-27 10:01:15 +08:00
stupid-h4er
c9fea71821
feat: add ark seedance video generation
2026-05-26 23:10:41 +08:00
HouYunFei
b8e50c10f6
feat(auth): 添加用户注册开关功能
...
- 在系统设置中新增 allowRegister 配置项控制用户注册
- 实现注册接口的开关检查机制
- 登录页面根据注册开关动态显示或隐藏注册选项
- 首次 Linux.do 登录创建用户时也受注册开关限制
- 更新系统配置文档说明新的认证配置项
2026-05-25 16:03:54 +08:00
HouYunFei
2934b1d0bc
refactor(ai): 重构AI接口算力点扣费逻辑并添加失败返还机制
...
- 移除预检查算力点步骤,改为请求前预扣算力点
- 添加请求失败时自动返还算力点的功能
- 修改copyAIResponse函数参数以支持失败回调处理
- 在响应状态异常时也执行算力点返还操作
- 从auth服务中移除EnsureUserCredits方法
- 新增RefundUserCredits方法用于返还用户算力点
- 添加AI_REFUND算力点日志类型常量
- 更新算力点日志类型说明及展示标签
2026-05-25 15:23:51 +08:00
HouYunFei
2181b3b885
feat(admin): 添加模型算力点配置和扣费功能
...
- 在管理后台设置页面添加模型算力点配置表格
- 实现后端AI接口调用时按模型扣除用户算力点
- 添加算力点余额检查和不足时的错误处理
- 在credit_logs中记录AI调用消费流水
- 更新前端远程调用后刷新用户信息显示
- 文档中补充模型算力点配置说明
2026-05-25 14:01:04 +08:00
HouYunFei
fff7074218
feat(admin): 添加管理员用户算力点管理和日志功能
...
- 在管理员API中新增用户算力点调整功能和信用日志相关接口
- 实现后端用户算力点调整逻辑和信用日志的增删改查操作
- 在管理员界面用户管理页面添加算力点调整功能
- 新增独立的算力点日志管理页面,支持日志查看和编辑
- 添加算力点日志相关的数据模型和服务函数
- 更新数据库文档说明第三方资料存储结构
- 添加dayjs依赖用于时间格式化显示
2026-05-25 12:57:27 +08:00
HouYunFei
fe3294ed60
feat(auth): 添加用户认证中间件并重构Linux.do登录流程
...
- 新增UserAuth中间件用于验证用户登录状态和权限
- 移除Linux.do登录中的redirectUri和minimumTrustLevel配置项
- 修改Linux.do登录流程以支持动态构建回调URL
- 将API v1接口组迁移至需要用户认证的路由
- 在远程AI服务调用中添加用户令牌认证
- 修复被封禁用户的认证检查逻辑
- 更新登录重定向函数以处理请求来源
- 添加RequestOrigin函数解析转发的主机和协议头
2026-05-25 12:05:02 +08:00
HouYunFei
b2cae2471d
feat(admin): 添加用户管理和Linux.do登录功能
...
- 新增AdminUser类型定义及用户管理API接口
- 实现用户列表查询、保存和删除功能
- 添加Linux.do第三方登录支持
- 集成Linux.do OAuth认证流程
- 在系统设置中添加Linux.do登录配置选项
- 实现算力点余额调整记录功能
- 优化搜索组件关键词状态管理
- 更新数据库迁移添加credit_logs表
- 完善用户状态和信用等级验证逻辑
2026-05-25 11:21:09 +08:00
HouYunFei
593feddc3f
refactor(canvas): 优化模型选择器和定时同步配置
...
- 将模型选择器替换为统一的 shadcn 风格下拉组件
- 移除原生数字输入框的步进箭头样式
- 更新默认定时同步配置为每5分钟执行
- 修复画布助手和节点配置中的模型选择逻辑
- 统一各页面中的模型选择器样式和交互行为
2026-05-23 15:56:17 +08:00
HouYunFei
6049ad2df3
feat(admin): 添加提示词批量删除和定时同步功能
...
- 后端新增批量删除提示词接口和实现
- 前端管理页面添加多选和批量删除功能
- 添加定时同步GitHub远程提示词源功能
- 新增系统设置中的提示词同步配置选项
- 更新文档说明新的批量操作和定时同步功能
- 添加相关的测试用例和依赖库
2026-05-22 16:11:55 +08:00
HouYunFei
03396a9d18
feat(admin): 添加提示词批量删除和定时同步功能
...
- 后端新增批量删除提示词接口和实现
- 前端管理页面添加多选和批量删除功能
- 添加定时同步GitHub远程提示词源功能
- 新增系统设置中的提示词同步配置选项
- 更新文档说明新的批量操作和定时同步功能
- 添加相关的测试用例和依赖库
2026-05-22 16:01:00 +08:00
HouYunFei
db5d114428
feat(admin): 新增管理后台模型渠道配置功能
...
- 实现了管理后台模型渠道的增删改查功能
- 将前端直接调用API改为通过后端接口代理获取模型列表
- 添加了渠道测试连接和模型可用性检测功能
- 实现了API Key安全存储机制,前端不再明文显示
- 更新了管理后台设置页面的渠道配置界面
- 添加了表格选中行背景色主题配置支持
- 重构了错误处理机制,统一返回安全错误信息
- 整理了后端模型代理路径为OpenAI风格的/api/v1/*
2026-05-22 15:29:31 +08:00
HouYunFei
9c2fa25380
feat(config): 更新系统配置默认值和文档说明
...
- 将 allowCustomChannel 默认值从 false 改为 true
- 修改 allowCustomChannel 字段类型为指针类型以支持默认值设置
- 更新相关文档中对 allowCustomChannel 功能的描述
- 修复画布页面中对话框节点打开逻辑,避免文本节点意外触发编辑对话框
- 将用户配置中的渠道模式默认值从 remote 改为 local
2026-05-22 08:11:13 +08:00
HouYunFei
d40b9b53c2
fix(ai): 修复AI代理请求和图片生成功能
...
- 添加详细的错误日志记录,包括请求读取、渠道选择、请求构建和响应处理的失败情况
- 统一AI接口请求失败返回消息为"AI 接口请求失败"
- 添加对上游响应状态码>=400的检查和错误处理
- 在JWT解析中验证签名方法有效性,防止无效登录状态
- 移除JWT密钥警告日志,改为运行时生成随机密钥
- 调整应用配置模态框中云端和本地选项的显示顺序
- 添加图片生成元数据记录生成类型、模型、尺寸、质量和参考图等信息
- 实现空图片节点直接生成图片而不保留空框的功能
- 完善图片重试逻辑,优先使用保存的元数据进行重试
- 添加参考图片丢失时的错误提示
- 修复图片节点样式圆角显示问题
- 更新AI代理路径为/api/v1/*保持OpenAI风格
- 添加系统设置页面的安全警告提示
2026-05-21 17:50:14 +08:00
HouYunFei
6f1e0d347b
refactor(config): 将AI配置逻辑迁移至统一的状态管理store
...
- 移除独立的ai-config.ts文件,将其功能整合到use-config-store
- 更新所有组件导入路径从 "@/lib/ai-config" 到 "@/stores/use-config-store"
- 实现云端渠道和本地直连两种配置模式的支持
- 添加模型渠道配置管理和API请求代理转发功能
- 统一配置验证逻辑和有效配置获取方法
- 更新组件中使用的配置状态钩子和API调用方式
2026-05-21 13:36:30 +08:00
HouYunFei
afd9631735
refactor(admin): 重构管理员设置模型渠道配置结构
...
- 将公开设置中的模型相关字段统一收拢到 modelChannel 配置组
- 更新 AdminPublicSettings 类型定义为 AdminPublicModelChannelSettings
- 在前端表单中调整模型配置字段路径到 public.modelChannel 下
- 更新设置规范化函数以适配新的嵌套配置结构
- 修改依赖注入和文档以反映配置结构变化
- 添加系统配置数据结构文档说明新的配置格式
2026-05-21 12:14:56 +08:00
HouYunFei
330f06bb05
feat(admin): 重构系统设置页面并新增渠道管理功能
...
- 将系统设置页面改为公开/私有双标签页结构
- 新增渠道协议、权重配置和加权随机选择算法
- 替换自定义模型为自定义渠道配置选项
- 实现渠道模型远程获取和在线测试功能
- 添加批量测试和抽屉式编辑界面
- 更新文档说明和数据表结构定义
2026-05-21 10:30:03 +08:00
HouYunFei
cf085770e7
feat(admin): 新增系统设置页面和配置管理功能
...
- 新增 settings 表用于存储 public/private 两行 JSON 配置
- 添加 AdminSettings 相关类型定义和 API 接口
- 实现管理后台系统设置页面,支持可视化和 JSON 编辑模式
- 集成 CodeMirror 编辑器用于 JSON 配置编辑
- 添加系统设置相关的路由和接口
- 更新依赖包并修改相关样式和布局文件
2026-05-20 17:53:07 +08:00
HouYunFei
472bf8b732
first commit
...
Co-Authored-By: Codex <noreply@openai.com >
2026-05-19 19:50:36 +08:00