feat(admin): add session-based portal login
This commit is contained in:
phamnazage-jpg
@@ -62,6 +62,7 @@ SUB2API_CRM_ADMIN_TOKEN=change-me-before-production SUB2API_CRM_LISTEN_ADDR=127.
|
||||
- `https://sub.tksea.top/portal/admin/`
|
||||
- 管理首页
|
||||
- 统一提供“新增模型 / 供应商目录”和“导入供应商帐号”入口
|
||||
- 当前已支持管理员用户名 / 密码登录;登录成功后浏览器会持有同域 HttpOnly session cookie
|
||||
- `https://sub.tksea.top/portal/admin/providers.html`
|
||||
- provider 目录与 preview/import 管理页
|
||||
- 当前已支持通过 `provider_drafts` API 把 provider manifest 草稿持久化到 CRM SQLite,并直接更新 / 删除 / 发布到 pack 仓库
|
||||
@@ -77,9 +78,23 @@ SUB2API_CRM_ADMIN_TOKEN=change-me-before-production SUB2API_CRM_LISTEN_ADDR=127.
|
||||
|
||||
- `https://sub.tksea.top/portal-admin-api/`
|
||||
- 反代到 CRM
|
||||
- 浏览器侧仍需 Bearer admin token
|
||||
- 浏览器侧优先走管理员 session;同时保留 Bearer admin token 兼容脚本与紧急兜底
|
||||
- 作用是让静态 admin 页面不必直接访问 remote43 的内网 `18173`
|
||||
|
||||
管理员登录配置:
|
||||
|
||||
- `SUB2API_CRM_ADMIN_TOKEN`
|
||||
- 必填
|
||||
- 继续作为服务端管理 API 的 Bearer token,同时也是 session cookie 的签名密钥
|
||||
- `SUB2API_CRM_ADMIN_USERNAME`
|
||||
- 可选,默认 `admin`
|
||||
- `SUB2API_CRM_ADMIN_PASSWORD`
|
||||
- 可选
|
||||
- 若未配置,当前实现会回退为“使用 `SUB2API_CRM_ADMIN_TOKEN` 作为登录密码”
|
||||
- `SUB2API_CRM_ADMIN_SESSION_TTL`
|
||||
- 可选,默认 `12h`
|
||||
- 控制浏览器管理态 session 的有效期
|
||||
|
||||
当前 provider 草稿发布相关 API:
|
||||
|
||||
- `POST /api/provider-drafts`
|
||||
|
||||
@@ -35,7 +35,7 @@
|
||||
- `https://sub.tksea.top/portal/admin/providers.html`:provider 目录 / preview-import / import / manifest 草稿页
|
||||
- `https://sub.tksea.top/portal/admin/batch-import.html`:结构化 batch-import 入口,当前跳转到 legacy `admin-batch-import.html`
|
||||
- Nginx 示例与 deploy 脚本已补同域 CRM 反代 `https://sub.tksea.top/portal-admin-api/`
|
||||
- 目的不是绕过鉴权,而是让浏览器可直接操作 remote43 CRM,同时继续由 Bearer admin token 控制权限
|
||||
- 目的不是绕过鉴权,而是让浏览器可直接操作 remote43 CRM;当前已继续补成“管理员用户名 / 密码登录 + HttpOnly session cookie”,同时保留 Bearer admin token 兼容脚本与紧急兜底
|
||||
- 2026-05-27 已继续把 provider manifest 草稿从“只存在浏览器”补成真正的服务端能力:
|
||||
- 新增 `POST /api/provider-drafts`
|
||||
- 新增 `GET /api/provider-drafts`
|
||||
@@ -67,6 +67,18 @@
|
||||
- `GET /portal/` 返回 `200`
|
||||
- `GET /kimi-portal/` 返回 `302 -> /portal/`
|
||||
- `GET /portal-proxy/api/v1/keys` 在无效 token 下已命中宿主真实 `INVALID_TOKEN`,说明新的同域代理已生效
|
||||
- 2026-05-28 已继续把管理态“每次手贴 Bearer token”收口为正式登录流:
|
||||
- 新增 `GET /api/admin/session`
|
||||
- 新增 `POST /api/admin/session/login`
|
||||
- 新增 `POST /api/admin/session/logout`
|
||||
- 管理态受保护接口现已同时接受:
|
||||
- `Authorization: Bearer <SUB2API_CRM_ADMIN_TOKEN>`
|
||||
- 或同域管理员 session cookie
|
||||
- `providers.html` 与 `admin-batch-import.html` 现已优先走 session,token 输入框仅保留为兜底
|
||||
- 当前部署环境可通过以下变量显式配置管理员账号:
|
||||
- `SUB2API_CRM_ADMIN_USERNAME`
|
||||
- `SUB2API_CRM_ADMIN_PASSWORD`
|
||||
- `SUB2API_CRM_ADMIN_SESSION_TTL`
|
||||
- 2026-05-26 已把“最终用户 -> 公网域名 -> OpenClaw”这一跳补进正式验证口径:
|
||||
- 公网根地址当前统一为 `https://sub.tksea.top`
|
||||
- OpenClaw 本地 `MiniMax` 运行时故障已定位为 `pi-ai/openai-node` 未继承系统 `HTTP(S)_PROXY`,不是 allowlist 或模型名大小写问题
|
||||
|
||||
Reference in New Issue
Block a user