feat: 添加安全模块 + Dockerfile添加curl支持健康检查

主要更新: - 新增 security/ 安全模块 (风险评估、威胁检测、蜜罐等) - Dockerfile 添加 curl 以支持 Docker 健康检查 - 前端页面更新 (管理后台、用户端) - 数据库迁移和 schema 更新 - 新增 kdocs 上传服务 - 添加安全相关测试用例 Co-Authored-By: Claude <noreply@anthropic.com>
2026-01-08 17:48:33 +08:00
parent e3b0c35da6
commit 53c78e8e3c
76 changed files with 8563 additions and 4709 deletions
--- a/services/maintenance.py
+++ b/services/maintenance.py
@@ -4,6 +4,7 @@ from __future__ import annotations

 import threading
 import time
+from datetime import datetime

 from app_config import get_config
 from app_logger import get_logger
@@ -26,6 +27,9 @@ USER_ACCOUNTS_EXPIRE_SECONDS = int(getattr(config, "USER_ACCOUNTS_EXPIRE_SECONDS
 BATCH_TASK_EXPIRE_SECONDS = int(getattr(config, "BATCH_TASK_EXPIRE_SECONDS", 21600))
 PENDING_RANDOM_EXPIRE_SECONDS = int(getattr(config, "PENDING_RANDOM_EXPIRE_SECONDS", 7200))

+# 金山文档离线通知状态：每次掉线只通知一次，恢复在线后重置
+_kdocs_offline_notified: bool = False
+

 def cleanup_expired_data() -> None:
    """定期清理过期数据，防止内存泄漏（逻辑保持不变）。"""
@@ -91,6 +95,87 @@ def cleanup_expired_data() -> None:
        logger.debug(f"已清理 {deleted_random} 个过期随机延迟任务")


+def check_kdocs_online_status() -> None:
+    """检测金山文档登录状态，如果离线则发送邮件通知管理员（每次掉线只通知一次）"""
+    global _kdocs_offline_notified
+
+    try:
+        import database
+        from services.kdocs_uploader import get_kdocs_uploader
+
+        # 获取系统配置
+        cfg = database.get_system_config()
+        if not cfg:
+            return
+
+        # 检查是否启用了金山文档功能
+        kdocs_enabled = int(cfg.get("kdocs_enabled") or 0)
+        if not kdocs_enabled:
+            return
+
+        # 检查是否启用了管理员通知
+        admin_notify_enabled = int(cfg.get("kdocs_admin_notify_enabled") or 0)
+        admin_notify_email = (cfg.get("kdocs_admin_notify_email") or "").strip()
+        if not admin_notify_enabled or not admin_notify_email:
+            return
+
+        # 获取金山文档状态
+        kdocs = get_kdocs_uploader()
+        status = kdocs.get_status()
+        login_required = status.get("login_required", False)
+        last_login_ok = status.get("last_login_ok")
+
+        # 如果需要登录或最后登录状态不是成功
+        is_offline = login_required or (last_login_ok is False)
+
+        if is_offline:
+            # 已经通知过了，不再重复通知
+            if _kdocs_offline_notified:
+                logger.debug("[KDocs监控] 金山文档离线，已通知过，跳过重复通知")
+                return
+
+            # 发送邮件通知
+            try:
+                import email_service
+
+                now_str = datetime.now().strftime("%Y-%m-%d %H:%M:%S")
+                subject = "【金山文档离线告警】需要重新登录"
+                body = f"""
+您好，
+
+系统检测到金山文档上传功能已离线，需要重新扫码登录。
+
+检测时间：{now_str}
+状态详情：
+- 需要登录：{login_required}
+- 上次登录状态：{last_login_ok}
+
+请尽快登录后台，在"系统配置"→"金山文档上传"中点击"获取登录二维码"重新登录。
+
+---
+此邮件由系统自动发送，请勿直接回复。
+"""
+                email_service.send_email_async(
+                    to_email=admin_notify_email,
+                    subject=subject,
+                    body=body,
+                    email_type="kdocs_offline_alert",
+                )
+                _kdocs_offline_notified = True  # 标记为已通知
+                logger.warning(f"[KDocs监控] 金山文档离线，已发送通知邮件到 {admin_notify_email}")
+            except Exception as e:
+                logger.error(f"[KDocs监控] 发送离线通知邮件失败: {e}")
+        else:
+            # 恢复在线，重置通知状态
+            if _kdocs_offline_notified:
+                logger.info("[KDocs监控] 金山文档已恢复在线，重置通知状态")
+                _kdocs_offline_notified = False
+            logger.debug("[KDocs监控] 金山文档状态正常")
+
+    except Exception as e:
+        logger.error(f"[KDocs监控] 检测失败: {e}")
+
+
 def start_cleanup_scheduler() -> None:
    """启动定期清理调度器"""

@@ -106,3 +191,22 @@ def start_cleanup_scheduler() -> None:
    cleanup_thread.start()
    logger.info("内存清理调度器已启动")

+
+def start_kdocs_monitor() -> None:
+    """启动金山文档状态监控"""
+
+    def monitor_loop():
+        # 启动后等待 60 秒再开始检测（给系统初始化的时间）
+        time.sleep(60)
+        while True:
+            try:
+                check_kdocs_online_status()
+                time.sleep(300)  # 每5分钟检测一次
+            except Exception as e:
+                logger.error(f"[KDocs监控] 监控任务执行失败: {e}")
+                time.sleep(60)
+
+    monitor_thread = threading.Thread(target=monitor_loop, daemon=True, name="kdocs-monitor")
+    monitor_thread.start()
+    logger.info("[KDocs监控] 金山文档状态监控已启动（每5分钟检测一次）")
+