237899745/vue-driven-cloud-storage - vue-driven-cloud-storage - yuyx的git

237899745/vue-driven-cloud-storage

Author	SHA1	Message	Date
yuyx	c3bc58a88b	feat(admin): 添加系统日志功能 ## 新功能 1. 系统日志数据库 - 新增 system_logs 表 - 支持日志级别：debug/info/warn/error - 支持日志分类：auth/user/file/share/system/security - 记录用户ID、用户名、IP地址、User-Agent 2. 日志记录 - 用户注册成功/失败 - 用户登录成功/失败（密码错误） - 系统操作（日志清理等） 3. 管理员API - GET /api/admin/logs - 查询日志（支持分页和筛选） - GET /api/admin/logs/stats - 获取日志统计 - POST /api/admin/logs/cleanup - 清理旧日志 4. 前端界面 - 日志列表展示（时间、级别、分类、内容、用户、IP） - 筛选功能（级别、分类、关键词搜索） - 分页导航 - 清理旧日志功能 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 19:54:46 +08:00
yuyx	b188679f19	🐛 修复邮箱验证链接无效的问题 - 修复 UserDB.create() 中 verification_token 未哈希存储的bug - 注册时的token现在会进行SHA256哈希，与验证时的逻辑保持一致 - 解决"无效或已过期的验证链接"错误问题原因：注册时存储原文token，验证时用哈希后的token匹配，导致永远匹配不上 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 12:21:11 +08:00
yuyx	474c8fe9b5	🔒 安全加固：修复多个中高危漏洞修复内容： 1. Host Header 注入 - 添加 PUBLIC_BASE_URL 和 ALLOWED_HOSTS 白名单 2. API密钥暴力破解 - 添加速率限制（5次/小时，封锁24小时） 3. 路径遍历漏洞 - 增强路径验证，防止空字节注入和目录遍历 4. 令牌安全 - 密码重置和邮箱验证令牌使用SHA256哈希存储 5. 文件上传安全 - 阻止PHP/JSP/ASP等可执行脚本上传 6. IDOR防护 - 增强权限验证和安全日志 7. XSS防护 - 增强输入过滤，阻止javascript:等危险协议 8. 日志脱敏 - 移除验证码等敏感信息的日志输出 9. CSRF增强 - HTTPS环境使用strict模式Cookie 10. 邮箱枚举防护 - 密码重置统一返回消息 11. 速率限制 - 文件列表(60次/分)和上传(100次/小时) 配置说明： - PUBLIC_BASE_URL: 必须配置，用于生成安全的邮件链接 - ALLOWED_HOSTS: 可选，Host头白名单 - COOKIE_SECURE=true: 生产环境必须开启 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 09:48:46 +08:00
yuyx	47fe1466a4	🔒 修复中高危安全漏洞并增强文件安全验证关键安全修复： 1. 修复弱随机数生成器（中危） - 分享码生成从Math.random()改为crypto.randomBytes() - 防止分享链接被预测或暴力猜测 2. 增强文件上传安全验证（中危） - 新增isSafePathSegment()函数验证文件名 - 禁止路径遍历字符（..、/、\、控制字符） - 添加上传路径规范化和安全检查功能改进： - 管理员界面显示用户邮箱验证状态 - 优化用户状态展示（已封禁/未激活/正常）安全影响： - 消除分享链接可预测性风险 - 防止文件上传路径遍历攻击 - 提升文件系统访问控制安全性 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 01:37:02 +08:00
喻勇祥	02f0f3aa24	🔥 移除旧密码重置审核系统 & ✨ 优化存储管理UI 后端改进： - 移除需要管理员审核的密码重置请求功能 - 简化密码重置流程，直接使用邮件重置 - 删除 password_reset_requests 表及相关代码前端优化： - 重新设计存储管理界面，采用现代化渐变风格 - 改进存储方式切换交互，添加动画效果 - 优化视觉层次和信息展示 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 19:12:57 +08:00
喻勇祥	cfbb134587	🐛 修复邮箱验证和密码重置的时间戳问题后端修复： - 修改时间戳存储格式：从 ISO 字符串改为数值时间戳（毫秒） - 优化时间戳比较逻辑：兼容新旧格式的时间戳 - 修复 VerificationDB.consumeVerificationToken() 的时间比较 - 修复 PasswordResetTokenDB.use() 的时间比较 - 统一使用 Date.now() 生成时间戳前端改进： - 新增 verifyMessage 独立显示验证相关提示 - 优化邮箱验证成功后的用户体验（自动切换到登录表单） - 优化密码重置成功后的用户体验（自动切换到登录表单） - 改进提示信息显示方式技术细节： - SQLite 时间比较：strftime('%s','now')*1000 获取当前毫秒时间戳 - 兼容旧数据：同时支持字符串和数值时间戳比较这个修复解决了邮箱验证令牌一直提示过期的问题。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 15:48:32 +08:00
喻勇祥	6958655d6e	✉️ 添加完整的邮件系统功能后端新增功能： - 集成 nodemailer 支持 SMTP 邮件发送 - 新增邮箱验证系统（VerificationDB） - 新增密码重置令牌系统（PasswordResetTokenDB） - 实现邮件发送限流（30分钟3次，全天10次） - 添加 SMTP 配置管理接口 - 支持邮箱激活和密码重置邮件发送前端新增功能： - 注册时邮箱必填并需验证 - 邮箱验证激活流程 - 重发激活邮件功能 - 基于邮箱的密码重置流程（替代管理员审核） - 管理后台 SMTP 配置界面 - SMTP 测试邮件发送功能安全改进： - 邮件发送防刷限流保护 - 验证令牌随机生成（48字节） - 重置链接有效期限制 - 支持 SSL/TLS 加密传输支持的邮箱服务：QQ邮箱、163邮箱、企业邮箱等主流SMTP服务 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 14:28:35 +08:00
喻勇祥	7d1cb7b506	🐛 修复文件夹分享bug - 只显示第一个文件的问题问题： - 分享文件夹时，分享链接只显示文件夹内第一个文件 - 原因：前端无论文件还是文件夹都使用share_type='file' - 后端对非file类型的分享路径处理不正确修复方案： 1. 前端修改（frontend/app.js）： - shareFileForm添加isDirectory字段标记是否为文件夹 - openShareFileModal设置isDirectory值 - createShareFile根据isDirectory设置正确的share_type * 文件: share_type='file' * 文件夹: share_type='directory' 2. 后端修改（backend/database.js）： - 修复ShareDB.create中的sharePath逻辑 - file类型：使用file_path（单文件路径） - directory类型：使用file_path（文件夹路径） - all类型：使用'/'（根目录）测试： - 分享单个文件：正常显示单个文件 - 分享文件夹：正常显示文件夹内所有文件 - 分享所有文件：正常显示根目录所有文件	2025-11-18 17:58:31 +08:00
喻勇祥	8cda4c1a0b	fix: 修复时区问题 - 使用本地时区存储和比较时间 ## 问题 - 之前使用UTC时间存储expires_at - 前端解析时当成本地时间,导致显示时间差8小时 - 例如: 数据库存 08:37 (UTC),前端显示 08:37 (本地),实际应该显示 16:37 ## 修复 1. database.js create方法: 使用本地时区格式化时间 - 使用 getFullYear/getMonth/getDate 等获取本地时间 - 格式化为 YYYY-MM-DD HH:MM:SS (本地时间) 2. database.js findByCode方法: 使用本地时区比较 - 改为 datetime('now', 'localtime') - 确保与存储的本地时间格式匹配 3. 调试日志也使用本地时区 ## 效果 - 创建分享时,expires_at存储的是服务器本地时间 - 前端显示时间与服务器时间一致 - 过期判断使用本地时区,结果正确 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-14 16:46:26 +08:00
喻勇祥	d56388dd29	fix: 修复分享过期时间格式导致的过滤失败问题 ## 问题分析通过调试日志发现,过期分享仍能访问的根本原因是: - expires_at 存储格式: `2025-11-14T07:31:31.922Z` (ISO 8601) - datetime('now') 返回格式: `2025-11-14 08:19:52` (SQLite格式) - SQLite进行字符串比较时: 'T' (ASCII 84) > ' ' (ASCII 32) - 导致条件 `expires_at > datetime('now')` 对已过期分享仍返回true ## 修复内容 1. database.js: 修改create方法,将expires_at转换为SQLite datetime格式 - 旧格式: 2025-11-14T07:31:31.922Z - 新格式: 2025-11-14 07:31:31 2. fix_expires_at_format.js: 数据库修复脚本 - 将已存在的ISO格式时间转换为SQLite格式 - 确保历史数据也能正确过滤 ## 部署步骤 ```bash cd /var/www/wanwanyun git pull cd backend node fix_expires_at_format.js # 修复历史数据 pm2 restart wanwanyun-backend # 重启服务 ``` 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-14 16:25:31 +08:00
喻勇祥	eaf9ad7bb1	debug: 添加详细的分享验证调试日志 ## 调试内容为了排查过期分享仍能访问的问题,添加了详细的调试日志: ### 1. database.js - ShareDB.findByCode() - 记录调用时的参数和SQLite当前时间 - 记录SQL查询结果(是否找到、过期时间、分享类型) - 便于对比JavaScript时间和SQLite时间 ### 2. server.js - /api/share/:code/verify - 记录请求时间戳、分享码、是否有密码、请求IP - 记录findByCode的返回结果和过期状态 ### 3. server.js - /api/share/:code/list - 记录请求时间戳、分享码、子路径、密码状态 - 记录findByCode的返回结果和过期状态 ## 使用方法 1. 管理员在管理后台开启调试模式 2. 访问分享链接 https://cs.workyai.cn/s/oSrhV9D3 3. 查看后端console日志输出 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-14 16:09:01 +08:00
喻勇祥	84e9a19f3e	fix: 修复分享到期时间显示的两个问题问题1: 分享成功提示中到期时间显示为"永久有效" - 修复: backend/database.js 的create方法添加返回expires_at字段 - 修复: backend/server.js 的API响应中添加expires_at字段 - 现在创建分享后会正确显示设置的到期时间问题2: share.html分享页面不显示到期时间 - 新增: 在分享信息中添加到期时间显示(frontend/share.html:527-528) - 新增: 添加formatExpireTime/isExpiringSoon/isExpired方法 - 效果: 访问分享页面时可以看到"到期时间"或"永久有效" 改进: - 使用颜色区分状态(绿色=永久/正常, 黄色=即将过期, 红色=已过期) - 友好的时间显示格式(X天后过期/明天过期等) 注意: 关于0.01天显示问题的优化方案已文档化,需要手动修改app.js 🤖 Generated with Claude Code Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-14 13:54:38 +08:00
喻勇祥	4879d4891f	fix: 修复分享过期时间和防爆破保护覆盖不全的安全问题问题1 - 分享过期时间未强制校验: - 在ShareDB.findByCode()中添加过期时间检查 - SQL条件: AND (s.expires_at IS NULL OR s.expires_at > datetime('now')) - 现在过期的分享链接将返回404,无法访问问题2 - 分享密码防爆破保护覆盖不全: - 给/api/share/:code/list添加shareRateLimitMiddleware - 给/api/share/:code/download-file添加shareRateLimitMiddleware - 在两个接口的密码验证失败时调用recordFailure - 在两个接口的密码验证成功时调用recordSuccess - 防止攻击者绕过/verify接口直接暴力破解影响: - 分享过期后将无法访问(安全性提升) - 所有分享密码验证接口都受到限流保护(10次/10分钟) - 修复了可绕过防爆破保护的安全漏洞	2025-11-14 00:15:15 +08:00
WanWanYun	f097dfd179	修复: 将默认上传限制从100MB提升到10GB - database.js: 修改数据库初始化默认值为10GB (10737418240字节) - server.js: 修改两处fallback默认值为10GB - 确保新部署的系统默认支持10GB单文件上传 - 解决用户报告的100MB上传限制问题版本: v1.2.5	2025-11-11 01:57:06 +08:00
WanWanYun	4e9a3a5d26	修复: 管理员账号密码从环境变量读取问题描述: - 安装时设置的管理员账号密码无效 - 始终使用硬编码的 admin/admin123 修复内容: - createDefaultAdmin() 函数现在从环境变量读取 - 使用 process.env.ADMIN_USERNAME 和 ADMIN_PASSWORD - 保留默认值作为后备方案影响范围: - backend/database.js: createDefaultAdmin() 函数 (lines 130-159) 🤖 Generated with Claude Code Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-11 00:27:54 +08:00
WanWanYun	0f133962dc	Initial commit - 玩玩云文件管理系统 v1.0.0 - 完整的前后端代码 - 支持本地存储和SFTP存储 - 文件分享功能 - 上传工具源代码 - 完整的部署文档 - Nginx配置模板技术栈： - 后端: Node.js + Express + SQLite - 前端: Vue.js 3 + Axios - 存储: 本地存储 / SFTP远程存储	2025-11-10 21:50:16 +08:00