Merge pull request #23 from tytsxai/main

security: 修复多个 P0 级安全漏洞

Author: wutongci

.claude/settings.local.json

@@ -1,24 +1,27 @@
 {
   "permissions": {
     "allow": [
-      "Bash(npm run format:*)",
-      "Bash(npm run lint)",
-      "Bash(npx tsc:*)",
-      "Bash(cargo test:*)",
-      "Bash(cargo build:*)",
-      "Bash(npm run check:*)",
-      "Bash(npm run:*)",
-      "Bash(tree:*)",
-      "Bash(find:*)",
-      "Bash(cargo check:*)",
-      "Bash(rm:*)",
-      "Bash(cargo clippy:*)",
-      "Bash(cargo fmt:*)",
-      "Bash(lsof:*)",
-      "Bash(xargs kill:*)",
-      "Bash(cargo run:*)"
+      "Bash",
+      "Read(*)",
+      "Write(*)",
+      "Edit(*)",
+      "MultiEdit(*)",
+      "Glob(*)",
+      "Grep(*)",
+      "Task(*)",
+      "TaskOutput(*)",
+      "LSP(*)",
+      "NotebookEdit(*)",
+      "TodoWrite(*)",
+      "AskUserQuestion(*)",
+      "EnterPlanMode(*)",
+      "ExitPlanMode(*)",
+      "KillShell(*)",
+      "WebFetch(domain:*)",
+      "Skill(*)",
+      "SlashCommand(*)"
     ],
     "deny": [],
-    "ask": []
+    "defaultMode": "bypassPermissions"
   }
 }

.github/workflows/ci.yml

@@ -47,3 +47,17 @@ jobs:
       - name: Check Rust build
         working-directory: src-tauri
         run: cargo check --all-targets
+
+      - name: Lint frontend
+        run: npm run lint
+
+      - name: Test frontend
+        run: npm test
+
+      - name: Clippy
+        working-directory: src-tauri
+        run: cargo clippy --all-targets
+
+      - name: Test Rust
+        working-directory: src-tauri
+        run: cargo test

.github/workflows/release.yml

@@ -97,8 +97,8 @@ jobs:
             ```
             
             ### 默认配置
-            - **端口**: 3001
-            - **API Key**: proxycast-key
+            - **端口**: 8999
+            - **API Key**: 首次启动自动生成，可在设置页查看/修改
           releaseDraft: false
           prerelease: false
           args: --target ${{ matrix.target }}

README.md

@@ -74,7 +74,7 @@
 - **Per-Key 代理** - 为每个凭证单独配置代理
 
 ### 🔐 安全与管理
-- **TLS/HTTPS 支持** - 可选启用 HTTPS 加密通信
+- **HTTPS 部署** - 当前版本不内置 TLS，请使用反向代理进行 HTTPS 终止
 - **远程管理 API** - 通过 API 远程管理配置和凭证
 - **访问控制** - 支持 localhost 限制和密钥认证
 
@@ -88,8 +88,12 @@
 - `/v1/models` - 模型列表
 - `/v1/messages` - Anthropic Messages API
 - `/v1/messages/count_tokens` - Token 计数
+- `/health` - 健康检查
+- `/ready` - 就绪检查
 - `/api/provider/{provider}/v1/*` - Provider 路由
 - `/v0/management/*` - 远程管理 API
+  - `/v0/management/backup` - 触发数据库备份
+  - `/v0/management/restore` - 从备份恢复
 
 ---
 
@@ -135,20 +139,29 @@
 3. **启动服务** - 在 Dashboard 点击"启动服务器"
 4. **配置客户端** - 在 Cherry-Studio、Cline 等工具中配置：
    ```
-   API Base URL: http://localhost:3001/v1
-   API Key: proxycast-key
+   API Base URL: http://localhost:8999/v1
+   API Key: 启动时自动生成的密钥（可在设置页查看/修改）
    ```
 
 ---
 
+## 🧰 运维提示
+
+- **自动备份**：数据库默认每天自动备份到 `~/.proxycast/backups/`，保留 7 天。
+- **配置备份**：每次写入配置会生成 `config.yaml.backup` 以便回滚。
+- **日志归档**：7 天游离线日志自动压缩，30 天前压缩日志自动清理。
+- **生产 HTTPS**：当前版本不内置 TLS，生产环境需反向代理终止 HTTPS。
+
+---
+
 ## 🔧 API 使用示例
 
 ### OpenAI Chat Completions
 
 ```bash
-curl http://localhost:3001/v1/chat/completions \
+curl http://localhost:8999/v1/chat/completions \
   -H "Content-Type: application/json" \
-  -H "Authorization: Bearer proxycast-key" \
+  -H "Authorization: Bearer your-api-key" \
   -d '{
     "model": "claude-sonnet-4-5-20250514",
     "messages": [
@@ -161,9 +174,9 @@ curl http://localhost:3001/v1/chat/completions \
 ### Anthropic Messages API
 
 ```bash
-curl http://localhost:3001/v1/messages \
+curl http://localhost:8999/v1/messages \
   -H "Content-Type: application/json" \
-  -H "x-api-key: proxycast-key" \
+  -H "x-api-key: your-api-key" \
   -H "anthropic-version: 2023-06-01" \
   -d '{
     "model": "claude-sonnet-4-5-20250514",

docs/TECH_SPEC.md

@@ -85,8 +85,8 @@ src/
 ### 路由模式
 
 ```
-http://localhost:3000/{provider}/v1/chat/completions
-http://localhost:3000/{provider}/v1/messages
+http://localhost:8999/{provider}/v1/chat/completions
+http://localhost:8999/{provider}/v1/messages
 ```
 
 ### 支持的端点
@@ -104,8 +104,8 @@ http://localhost:3000/{provider}/v1/messages
 {
   "server": {
     "host": "127.0.0.1",
-    "port": 3000,
-    "apiKey": "proxycast-key"
+    "port": 8999,
+    "apiKey": "your-api-key"
   },
   "providers": {
     "kiro": {

docs/content/01.introduction/3.quickstart.md

@@ -46,7 +46,7 @@ ProxyCast 会自动检测本地的 AI 客户端凭证文件。
 
 1. 在仪表盘点击 **启动服务**
 2. 服务状态变为"运行中"
-3. 记下 API 地址（默认 `http://127.0.0.1:9090`）
+3. 记下 API 地址（默认 `http://127.0.0.1:8999`）
 
 ## 步骤 4: 测试 API
 
@@ -61,7 +61,7 @@ ProxyCast 会自动检测本地的 AI 客户端凭证文件。
 **OpenAI 格式:**
 
 ```bash
-curl http://127.0.0.1:9090/v1/chat/completions \
+curl http://127.0.0.1:8999/v1/chat/completions \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer your-api-key" \
   -d '{
@@ -73,7 +73,7 @@ curl http://127.0.0.1:9090/v1/chat/completions \
 **Claude 格式:**
 
 ```bash
-curl http://127.0.0.1:9090/v1/messages \
+curl http://127.0.0.1:8999/v1/messages \
   -H "Content-Type: application/json" \
   -H "x-api-key: your-api-key" \
   -H "anthropic-version: 2023-06-01" \
@@ -90,7 +90,7 @@ curl http://127.0.0.1:9090/v1/messages \
 
 在 Cursor 设置中配置 OpenAI API：
 
-- API Base URL: `http://127.0.0.1:9090/v1`
+- API Base URL: `http://127.0.0.1:8999/v1`
 - API Key: 你在 ProxyCast 中设置的 API Key
 
 ### Continue 配置
@@ -103,7 +103,7 @@ curl http://127.0.0.1:9090/v1/messages \
     "title": "ProxyCast Claude",
     "provider": "openai",
     "model": "claude-sonnet-4-20250514",
-    "apiBase": "http://127.0.0.1:9090/v1",
+    "apiBase": "http://127.0.0.1:8999/v1",
     "apiKey": "your-api-key"
   }]
 }

docs/content/02.user-guide/1.dashboard.md

@@ -29,7 +29,7 @@ navigation:
 
 服务运行时显示：
 
-- **API 地址**: 本地 API 端点（如 `http://127.0.0.1:9090`）
+- **API 地址**: 本地 API 端点（如 `http://127.0.0.1:8999`）
 - **API Key**: 当前配置的访问密钥
 - **复制按钮**: 一键复制 API 地址或 Key
 

docs/content/02.user-guide/11.skills.md

@@ -101,7 +101,7 @@ coding:
 ### 通过 API 调用
 
 ```bash
-curl http://127.0.0.1:9090/v1/chat/completions \
+curl http://127.0.0.1:8999/v1/chat/completions \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer your-api-key" \
   -d '{

docs/content/02.user-guide/4.configuration-example.md

@@ -16,14 +16,16 @@ navigation:
 server:
   host: "127.0.0.1"
   port: 8999
-  api_key: "proxy_cast"
+  api_key: "your-api-key"
 
   # TLS/HTTPS 配置
   tls:
     enable: false
     cert_path: "/path/to/cert.pem"
     key_path: "/path/to/key.pem"
 
+# 注意：当前版本暂不支持 TLS。启用后服务将无法启动，请使用反向代理做 TLS 终止。
+
 # 全局代理 URL（支持 socks5/http/https）
 proxy_url: "socks5://127.0.0.1:1080"
 
@@ -278,7 +280,7 @@ injection:
 server:
   host: "127.0.0.1"
   port: 8999
-  api_key: "proxy_cast"
+  api_key: "your-api-key"
   tls:
     enable: false
     cert_path: ""

docs/content/02.user-guide/6.config-management.md

@@ -56,7 +56,7 @@ resilience:
 
 server:
   host: "127.0.0.1"
-  port: 9090
+  port: 8999
 ```
 
 ### 敏感信息处理
@@ -107,15 +107,15 @@ server:
 
 ```bash
 # ProxyCast API Configuration
-PROXYCAST_API_BASE=http://127.0.0.1:9090/v1
+PROXYCAST_API_BASE=http://127.0.0.1:8999/v1
 PROXYCAST_API_KEY=your-api-key
 
 # OpenAI Compatible
-OPENAI_API_BASE=http://127.0.0.1:9090/v1
+OPENAI_API_BASE=http://127.0.0.1:8999/v1
 OPENAI_API_KEY=your-api-key
 
 # Claude Compatible
-ANTHROPIC_API_BASE=http://127.0.0.1:9090
+ANTHROPIC_API_BASE=http://127.0.0.1:8999
 ANTHROPIC_API_KEY=your-api-key
 ```
 
@@ -142,6 +142,25 @@ ProxyCast 会自动备份配置：
 3. 选择要恢复的版本
 4. 点击 **恢复**
 
+## 完整备份与恢复（生产建议）
+
+仅导出配置无法覆盖数据库与凭证文件。生产环境建议定期备份以下路径：
+
+- 配置文件：macOS `~/Library/Application Support/proxycast/config.yaml`；Linux `~/.config/proxycast/config.yaml`；Windows `%APPDATA%\\proxycast\\config.yaml`
+- 凭证副本目录：macOS `~/Library/Application Support/proxycast/credentials/`；Linux `~/.local/share/proxycast/credentials/`；Windows `%APPDATA%\\proxycast\\credentials\\`
+- 数据库与日志：`~/.proxycast/`（含 `proxycast.db`、`logs/`、`request_logs/`、`auth/`）
+
+```bash
+# 示例：备份数据库与日志目录
+cp -a ~/.proxycast ~/.proxycast.backup-$(date +%Y%m%d%H%M%S)
+```
+
+恢复时将备份内容替换回原路径，并确保应用已退出。
+
+## 旧版本迁移说明
+
+如果检测到旧版 `~/.proxycast/config.json`，当前版本会阻止启动并提示手动迁移。请先导出旧配置或重新导入 YAML 配置，再启动应用。
+
 ## 配置同步
 
 ### 跨设备同步