237899745/vue-driven-cloud-storage
1
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity
43 Commits 3 Branches 0 Tags
6504026eb6c64fc439c64397a14783c138f71fac
Commit Graph

15 Commits

Author SHA1 Message Date
喻勇祥
230937eba8 修复: 添加原密码验证UI并修复中文文件名乱码 
## 问题1: 修改密码缺少原密码验证UI

后端已有current_password验证,但前端没有输入框:
- 用户无法输入当前密码
- 导致密码修改功能无法正常使用

修复内容(前端):
1. app.html: 添加当前密码输入框
2. app.js:
   - 添加current_password字段到data
   - 添加current_password必填验证
   - 请求体中包含current_password
   - 成功后清空current_password

## 问题2: 中文文件名上传后乱码

原因:
- multer默认将文件名从UTF-8转换为Latin1编码
- req.file.originalname获取到的是乱码

修复内容(后端):
1. 配置multer.diskStorage自定义文件名处理
2. 在filename回调中将Latin1转回UTF-8:
   Buffer.from(file.originalname, 'latin1').toString('utf8')
3. 在上传路由中同样转换originalname
4. 临时文件名使用时间戳+随机数+原始文件名避免冲突

影响范围:
- 所有文件上传操作
- 中文、日文、韩文等非ASCII文件名

测试建议:
- 上传中文文件名文件(如测试文档.pdf)
- 上传emoji文件名
- 修改密码功能完整流程测试
 2025-11-11 16:09:49 +08:00
喻勇祥
9eade3e3e6 性能: 优化磁盘信息获取方式,改为异步执行 
问题:
- /api/admin/storage-stats 使用 execSync 同步执行 df/wmic 命令
- 同步执行会阻塞事件循环,影响并发请求处理
- 磁盘信息获取可能需要几百毫秒,影响响应速度

优化内容:
1. 导入 util.promisify 将 exec 转换为异步函数
2. 将路由处理函数改为 async
3. 使用 execAsync 替代 execSync 执行 df 命令
4. 使用 execAsync 替代 execSync 执行 wmic 命令

优势:
- 不阻塞事件循环,提升并发性能
- 管理员查看存储统计时不影响其他用户操作
- 更符合 Node.js 最佳实践
 2025-11-11 15:24:39 +08:00
喻勇祥
60bc89ffea 修复: 修复文件下载时storage连接资源泄漏问题 
问题:
- /api/files/download 路由在文件流下载时没有关闭storage连接
- 当下载大文件或多个并发下载时,会导致SFTP连接积累
- 可能导致连接池耗尽和内存泄漏

修复内容:
1. 添加stream.on('error')事件处理:流错误时关闭storage连接
2. 添加stream.on('close')事件处理:流传输完成时关闭storage连接
3. 增强catch块:在stream创建之前发生错误时关闭storage连接

影响范围:
- /api/files/download(用户文件下载)
- /api/share/:code/download-file(分享文件下载,已有处理逻辑)

测试建议:
- 测试正常文件下载
- 测试下载过程中断(用户取消下载)
- 测试下载不存在的文件(错误处理)
- 测试大文件下载和并发下载
 2025-11-11 15:06:20 +08:00
喻勇祥
2a58380b32 修复: 优化存储配额检查时机,支持文件覆盖场景 
问题描述:
- 上传文件覆盖已有文件时配额检查不准确
- 只检查新文件大小,不考虑旧文件会被删除释放的空间
- 导致误报配额不足,阻止合理的文件覆盖操作
- 空间统计不准确,累积误差

修复内容:
1. 智能配额检查
   - 上传前检测目标文件是否存在
   - 计算净增量(新文件大小 - 旧文件大小)
   - 只在净增量为正时才检查配额
   - 覆盖更小文件时不检查配额

2. 准确的空间更新
   - 使用净增量更新已使用空间
   - 支持负增量(文件变小时减少用量)
   - 避免重复计算导致的累积误差

3. 容错处理
   - try-catch捕获旧文件不存在的情况
   - 确保即使旧文件检查失败也能继续

修复场景示例:
- 配额10GB,已使用9.5GB
- 有一个1GB的旧文件
- 上传0.8GB新文件覆盖
- 修复前: 9.5+0.8=10.3GB > 10GB  拒绝
- 修复后: 9.5-1+0.8=9.3GB < 10GB ✓ 允许

影响范围: 本地存储文件上传功能

测试建议:
- 测试文件覆盖场景配额检查正确
- 验证空间使用统计准确
- 确认新文件上传场景仍正常工作

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 14:28:46 +08:00
喻勇祥
c9553ff497 修复: 添加分享缓存过期机制(TTL) 
问题描述:
- 分享文件缓存使用Map没有过期机制
- 缓存会无限增长,占用内存
- 文件更新或删除后缓存不会自动清除
- 长期运行可能导致内存泄漏

修复内容:
1. 实现TTLCache类
   - 支持自定义过期时间(默认1小时)
   - 自动检查缓存是否过期
   - API完全兼容Map(set/get/has/delete)

2. 添加自动清理机制
   - 每10分钟自动清理过期缓存
   - 记录清理日志便于监控
   - 提供destroy方法停止清理定时器

3. 替换shareFileCache为TTLCache实例
   - 设置1小时TTL
   - 无需修改现有代码
   - 向后兼容所有现有使用

缓存特性:
- get()时自动检查过期
- has()时自动检查过期
- 定期清理避免内存积累
- size()方法获取当前缓存数量

影响范围: 分享文件缓存管理

测试建议:
- 验证分享链接访问后缓存生效
- 验证1小时后缓存自动失效
- 监控日志确认定期清理执行

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 14:19:35 +08:00
喻勇祥
4a9d31806b 修复: 优化文件上传临时文件清理机制 
问题描述:
- 文件删除操作可能抛出异常导致程序中断
- 服务器崩溃或重启后残留临时文件无法清理
- 没有自动清理机制

修复内容:
1. 添加safeDeleteFile()安全删除函数
   - 使用try-catch捕获删除异常
   - 记录删除日志和错误信息
   - 不会因删除失败而中断主流程

2. 添加cleanupOldTempFiles()定期清理函数
   - 启动时自动清理超过24小时的临时文件
   - 防止临时文件堆积占用磁盘空间
   - 容错处理避免清理失败影响启动

3. 替换所有fs.unlinkSync为safeDeleteFile
   - 文件大小超限时的临时文件清理
   - 上传成功后的临时文件清理
   - 上传失败时的临时文件清理

影响范围: 文件上传功能

测试建议:
- 上传文件后检查uploads目录临时文件已删除
- 重启服务器验证旧临时文件自动清理
- 模拟删除失败场景验证不影响主流程

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 13:46:33 +08:00
喻勇祥
3359cb8c01 安全: 为Cookie添加secure和sameSite安全标志 
问题描述:
- Cookie仅设置了httpOnly,缺少其他安全标志
- 未启用secure标志,HTTPS环境下cookie可能被劫持
- 缺少sameSite保护,存在CSRF风险

修复内容:
1. 添加secure标志,从环境变量COOKIE_SECURE控制
   - HTTPS环境设置为true
   - HTTP环境设置为false
2. 添加sameSite: 'lax'防止CSRF攻击
   - lax模式在导航时允许cookie
   - 阻止第三方站点的POST请求携带cookie
3. 保留httpOnly: true防止XSS攻击
4. 保留maxAge: 7天的过期时间

配置说明:
- .env中设置 COOKIE_SECURE=true (HTTPS环境)
- .env中设置 COOKIE_SECURE=false (HTTP环境)

影响范围: 用户登录认证cookie安全性

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 13:36:12 +08:00
喻勇祥
ee555af1a5 安全: 优化CORS配置,支持环境变量控制允许的来源 
问题描述:
- CORS配置使用origin: true允许所有来源
- 无法限制跨域访问,存在CSRF风险
- 生产环境应该只允许特定域名访问

修复内容:
1. 从环境变量ALLOWED_ORIGINS读取允许的来源列表
2. 支持多个域名配置(逗号分隔)
3. 实现origin验证回调函数
4. 默认允许所有(*),但在生产环境会发出警告
5. 记录并拒绝未授权来源的请求

配置示例:
- 开发环境: ALLOWED_ORIGINS=*
- 生产环境: ALLOWED_ORIGINS=https://yourdomain.com,https://www.yourdomain.com

影响范围: 跨域请求控制

测试建议:
- 配置ALLOWED_ORIGINS后验证只有指定域名可以访问
- 生产环境使用*时应该看到警告日志

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 13:33:38 +08:00
喻勇祥
9d510afa60 安全: 修复密码修改无需验证旧密码的安全漏洞 
问题描述:
- 用户修改密码时不需要验证当前密码
- 攻击者获取session后可直接修改密码
- 违反基本的安全最佳实践

修复内容:
1. 添加current_password必填验证
2. 在更新密码前验证当前密码正确性
3. 验证失败返回401错误
4. 更新API文档注释

API变更:
POST /api/user/change-password
请求参数:
- current_password (新增,必填)
- new_password (已有,必填)

影响范围: 用户密码修改功能

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 13:23:18 +08:00
喻勇祥
a953bda39a 安全: 修复JWT密钥使用默认值的安全隐患 
问题描述:
- JWT_SECRET使用硬编码默认值,存在严重安全风险
- 生产环境token可被轻易伪造

修复内容:
1. 在auth.js中添加JWT密钥安全检查
   - 检测默认密钥并发出警告
   - 生产环境强制要求设置JWT_SECRET
2. 更新.env.example添加JWT_SECRET配置说明
   - 提供密钥生成方法
   - 添加其他安全配置项
3. 优化deploy.sh部署脚本
   - 自动生成随机JWT密钥
   - 检测并替换默认密钥

影响范围: 安全认证模块

测试建议:
- 启动服务验证JWT_SECRET警告正常显示
- 使用deploy.sh部署验证自动生成密钥

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 13:17:57 +08:00
WanWanYun
f097dfd179 修复: 将默认上传限制从100MB提升到10GB 
- database.js: 修改数据库初始化默认值为10GB (10737418240字节)
- server.js: 修改两处fallback默认值为10GB
- 确保新部署的系统默认支持10GB单文件上传
- 解决用户报告的100MB上传限制问题

版本: v1.2.5
 2025-11-11 01:57:06 +08:00
WanWanYun
77bb2f7bdc 修复: 管理员账号密码无法正确设置的问题 
- 在 server.js 开头添加 require('dotenv').config()
- 确保环境变量从 .env 文件正确加载
- 修复了安装时设置的管理员账号密码不生效的问题

版本: v1.2.4
 2025-11-11 01:50:18 +08:00
WanWanYun
4e9a3a5d26 修复: 管理员账号密码从环境变量读取 
问题描述:
- 安装时设置的管理员账号密码无效
- 始终使用硬编码的 admin/admin123

修复内容:
- createDefaultAdmin() 函数现在从环境变量读取
- 使用 process.env.ADMIN_USERNAME 和 ADMIN_PASSWORD
- 保留默认值作为后备方案

影响范围:
- backend/database.js: createDefaultAdmin() 函数 (lines 130-159)

🤖 Generated with Claude Code
Co-Authored-By: Claude <noreply@anthropic.com>
 2025-11-11 00:27:54 +08:00
WanWanYun
8c7664a400 v1.1.2: 修复依赖安装问题 
主要修复:
1. 降级 better-sqlite3: 12.4.1 → 11.8.1
   - 兼容 Node.js 18.x
   - 解决版本不匹配导致的安装失败

2. 添加编译工具依赖
   - APT: build-essential, python3
   - YUM/DNF: gcc-c++, make, python3
   - Zypper: gcc-c++, make, python3
   - 解决原生模块编译失败问题

问题分析:
- better-sqlite3@12+ 要求 Node.js 20+
- 编译原生模块需要 C++ 编译器和 Python
- 旧版本服务器可能缺少编译工具链

解决方案:
- 使用兼容 Node.js 18+ 的 better-sqlite3 版本
- 自动安装所有必需的编译工具
- 确保在所有支持的系统上都能正常编译
 2025-11-10 23:35:33 +08:00
WanWanYun
0f133962dc Initial commit - 玩玩云文件管理系统 v1.0.0 
- 完整的前后端代码
- 支持本地存储和SFTP存储
- 文件分享功能
- 上传工具源代码
- 完整的部署文档
- Nginx配置模板

技术栈:
- 后端: Node.js + Express + SQLite
- 前端: Vue.js 3 + Axios
- 存储: 本地存储 / SFTP远程存储
 2025-11-10 21:50:16 +08:00