fix: 创建users表 + 用户认证系统 (REG1) — 第1轮调试修复

新增 user_store.go 实现 users 表自动建表和 CRUD 注册使用 bcrypt 哈希密码存入 users 表登录从 users 表查询用户并验证密码启动时自动种子 admin/admin123 用户调试文档: docs/debug/2026-05-20-round1-regression-verification.md
2026-05-20 13:52:12 +08:00
parent 4b35736f73
commit 9dd1582987
5 changed files with 338 additions and 44 deletions
@@ -11,6 +11,8 @@ import (

    "github.com/gin-gonic/gin"
    "github.com/joho/godotenv"
+    "golang.org/x/crypto/bcrypt"
+
    "github.com/yourname/cyrene-ai/gateway/internal/config"
    "github.com/yourname/cyrene-ai/gateway/internal/engine"
    "github.com/yourname/cyrene-ai/gateway/internal/handler"
@@ -50,6 +52,34 @@ func main() {
    	sessionStore = s
    	log.Println("✅ 会话持久化存储已启用 (PostgreSQL)")
    
+    	// 初始化 users 表
+    	if err := store.CreateUsersTable(s.DB()); err != nil {
+    		log.Printf("⚠ 创建 users 表失败: %v", err)
+    	} else {
+    		log.Println("✅ Users 表已就绪")
+    	}
+
+    	// 种子数据：如果没有 admin 用户，创建默认 admin
+    	if existingAdmin, err := store.GetUserByUsername(s.DB(), cfg.AdminUsername); err != nil {
+    		log.Printf("⚠ 查询管理员用户失败: %v", err)
+    	} else if existingAdmin == nil {
+    		log.Println("🔧 未找到管理员用户，创建默认 admin (username: admin, password: admin123)...")
+    		// 使用默认密码 "admin123" 作为种子密码
+    		defaultAdminPassword := "admin123"
+    		passwordHash, err := bcrypt.GenerateFromPassword([]byte(defaultAdminPassword), bcrypt.DefaultCost)
+    		if err != nil {
+    			log.Printf("⚠ 管理员密码哈希生成失败: %v", err)
+    		} else {
+    			if _, err := store.CreateUser(s.DB(), cfg.AdminUsername, string(passwordHash), true); err != nil {
+    				log.Printf("⚠ 创建默认管理员失败: %v", err)
+    			} else {
+    				log.Println("✅ 默认管理员用户已创建 (username: admin, password: admin123)")
+    			}
+    		}
+    	} else {
+    		log.Println("✅ 管理员用户已存在")
+    	}
+
    	// 初始化提醒存储（复用同一数据库连接）
    	if rs, err := store.NewReminderStore(s.DB()); err != nil {
    		log.Printf("⚠ 提醒存储初始化失败: %v", err)
@@ -73,7 +103,7 @@ func main() {
    		automationStore = as
    		log.Println("✅ 自动化持久化存储已启用 (PostgreSQL)")
    	}
-   
+    
    	// 初始化文件存储（复用同一数据库连接）
    	if fs, err := store.NewFileStore(s.DB()); err != nil {
    		log.Printf("⚠ 文件存储初始化失败: %v", err)
@@ -8,6 +8,7 @@ require (
 	github.com/gorilla/websocket v1.5.3
 	github.com/joho/godotenv v1.5.1
 	github.com/lib/pq v1.10.9
+	golang.org/x/crypto v0.23.0
 )

 require (
@@ -31,7 +32,6 @@ require (
 	github.com/twitchyliquid64/golang-asm v0.15.1 // indirect
 	github.com/ugorji/go/codec v1.2.12 // indirect
 	golang.org/x/arch v0.8.0 // indirect
-	golang.org/x/crypto v0.23.0 // indirect
 	golang.org/x/net v0.25.0 // indirect
 	golang.org/x/sys v0.20.0 // indirect
 	golang.org/x/text v0.15.0 // indirect
@@ -3,6 +3,7 @@ package handler
 import (
 	"database/sql"
 	"fmt"
+	"log"
 	"net/http"
 	"strings"
 	"time"
@@ -12,6 +13,7 @@ import (
 	"golang.org/x/crypto/bcrypt"

 	"github.com/yourname/cyrene-ai/gateway/internal/config"
+	"github.com/yourname/cyrene-ai/gateway/internal/store"
 )

 // AuthHandler 认证处理器
@@ -59,8 +61,34 @@ func (h *AuthHandler) Register(c *gin.Context) {
 		return
 	}

-	// MVP阶段：使用username直接作为userID
-	// 后续需要接入用户服务进行真实注册
+	// 检查用户名是否已存在
+	if h.db != nil {
+		existingUser, err := store.GetUserByUsername(h.db, req.Username)
+		if err != nil {
+			c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
+			return
+		}
+		if existingUser != nil {
+			c.JSON(http.StatusConflict, gin.H{"error": "用户名已被注册"})
+			return
+		}
+
+		// 密码哈希
+		passwordHash, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
+		if err != nil {
+			c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
+			return
+		}
+
+		// 存入 users 表
+		_, err = store.CreateUser(h.db, req.Username, string(passwordHash), false)
+		if err != nil {
+			c.JSON(http.StatusInternalServerError, gin.H{"error": "注册失败: " + err.Error()})
+			return
+		}
+	}
+
+	// 生成 userID
 	userID := "user_" + req.Username

 	// 生成JWT
@@ -78,7 +106,7 @@ func (h *AuthHandler) Register(c *gin.Context) {
 	})
 }

-// Login 用户登录 (支持管理员账户)
+// Login 用户登录 (支持管理员账户和普通用户)
 func (h *AuthHandler) Login(c *gin.Context) {
 	var req struct {
 		Username string `json:"username" binding:"required"`
@@ -92,26 +120,48 @@ func (h *AuthHandler) Login(c *gin.Context) {

 	var userID string

-	// 管理员账户验证
-	if req.Username == h.cfg.AdminUsername {
-		// 管理员必须提供正确的密码
+	// 尝试从 users 表查询用户
+	authenticated, err := h.verifyUserPassword(req.Username, req.Password)
+	if err != nil {
+		c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
+		return
+	}
+
+	if authenticated {
+		// 用户存在于 users 表中且密码验证通过
+		if req.Username == h.cfg.AdminUsername {
+			userID = "admin_" + req.Username
+		} else {
+			userID = "user_" + req.Username
+		}
+	} else if req.Username == h.cfg.AdminUsername && h.db != nil {
+		// 管理员用户尚未迁移到 users 表，尝试用配置中的密码验证
+		if req.Password != h.cfg.AdminPassword {
+			c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
+			return
+		}
+		// 密码正确，迁移 admin 到 users 表
+		passwordHash, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
+		if err != nil {
+			log.Printf("⚠ 迁移管理员密码哈希失败: %v", err)
+		} else {
+			if _, err := store.CreateUser(h.db, req.Username, string(passwordHash), true); err != nil {
+				log.Printf("⚠ 迁移管理员到 users 表失败: %v", err)
+			} else {
+				log.Println("✅ 管理员已迁移到 users 表")
+			}
+		}
+		userID = "admin_" + req.Username
+	} else if req.Username == h.cfg.AdminUsername {
+		// 数据库不可用时的回退：使用配置中的管理员密码
 		if req.Password != h.cfg.AdminPassword {
 			c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
 			return
 		}
 		userID = "admin_" + req.Username
 	} else {
-		// 普通用户登录：从数据库查询密码哈希并验证
-		authenticated, err := h.verifyUserPassword(req.Username, req.Password)
-		if err != nil {
-			c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
-			return
-		}
-		if !authenticated {
-			c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
-			return
-		}
-		userID = "user_" + req.Username
+		c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
+		return
 	}

 	token, err := h.cfg.GenerateToken(userID)
@@ -127,42 +177,29 @@ func (h *AuthHandler) Login(c *gin.Context) {
 	})
 }

-// verifyUserPassword 验证普通用户的密码
+// verifyUserPassword 验证用户的密码
 // 从数据库查询用户的密码哈希并与输入密码比对
 // 如果用户不存在，返回 (false, nil)；如果密码匹配，返回 (true, nil)
 func (h *AuthHandler) verifyUserPassword(username, password string) (bool, error) {
 	if h.db == nil {
-		// 数据库不可用时回退到简单验证（开发阶段兼容）
-		// 仅允许固定测试密码，不允许空密码登录
-		return password == "test123", nil
-	}
-
-	var storedHash string
-	err := h.db.QueryRow(
-		"SELECT password_hash FROM users WHERE username = $1",
-		username,
-	).Scan(&storedHash)
-
-	if err == sql.ErrNoRows {
-		// 用户不存在
+		// 数据库不可用时无法验证普通用户
 		return false, nil
 	}
+
+	user, err := store.GetUserByUsername(h.db, username)
 	if err != nil {
 		return false, fmt.Errorf("查询用户失败: %w", err)
 	}
-
-	// 使用 bcrypt 验证密码哈希
-	// 如果存储的是明文密码（向后兼容），则直接比对
-	if strings.HasPrefix(storedHash, "$2a$") || strings.HasPrefix(storedHash, "$2b$") || strings.HasPrefix(storedHash, "$2y$") {
-		// bcrypt 哈希
-		if err := bcrypt.CompareHashAndPassword([]byte(storedHash), []byte(password)); err != nil {
-			return false, nil
-		}
-		return true, nil
+	if user == nil {
+		// 用户不存在
+		return false, nil
 	}

-	// 明文密码向后兼容（开发阶段）
-	return password == storedHash, nil
+	// 使用 bcrypt 验证密码哈希
+	if err := bcrypt.CompareHashAndPassword([]byte(user.PasswordHash), []byte(password)); err != nil {
+		return false, nil
+	}
+	return true, nil
 }

 // RefreshToken 刷新令牌
@@ -0,0 +1,87 @@
+package store
+
+import (
+	"database/sql"
+	"fmt"
+	"time"
+
+	_ "github.com/lib/pq"
+)
+
+// User 用户模型
+type User struct {
+	ID           int       `json:"id"`
+	Username     string    `json:"username"`
+	PasswordHash string    `json:"-"`
+	IsAdmin      bool      `json:"is_admin"`
+	CreatedAt    time.Time `json:"created_at"`
+	UpdatedAt    time.Time `json:"updated_at"`
+}
+
+// CreateUsersTable 创建 users 表（如果不存在）
+func CreateUsersTable(db *sql.DB) error {
+	query := `CREATE TABLE IF NOT EXISTS users (
+		id SERIAL PRIMARY KEY,
+		username VARCHAR(255) UNIQUE NOT NULL,
+		password_hash VARCHAR(255) NOT NULL,
+		is_admin BOOLEAN DEFAULT FALSE,
+		created_at TIMESTAMPTZ DEFAULT NOW(),
+		updated_at TIMESTAMPTZ DEFAULT NOW()
+	)`
+
+	if _, err := db.Exec(query); err != nil {
+		return fmt.Errorf("创建 users 表失败: %w", err)
+	}
+
+	// 创建索引
+	indexQueries := []string{
+		`CREATE INDEX IF NOT EXISTS idx_users_username ON users(username)`,
+	}
+
+	for _, q := range indexQueries {
+		if _, err := db.Exec(q); err != nil {
+			return fmt.Errorf("创建 users 索引失败: %w", err)
+		}
+	}
+
+	return nil
+}
+
+// GetUserByUsername 按用户名查询用户
+// 如果用户不存在，返回 (nil, nil)
+func GetUserByUsername(db *sql.DB, username string) (*User, error) {
+	var u User
+	err := db.QueryRow(
+		`SELECT id, username, password_hash, is_admin, created_at, updated_at
+		 FROM users WHERE username = $1`,
+		username,
+	).Scan(&u.ID, &u.Username, &u.PasswordHash, &u.IsAdmin, &u.CreatedAt, &u.UpdatedAt)
+
+	if err == sql.ErrNoRows {
+		return nil, nil
+	}
+	if err != nil {
+		return nil, fmt.Errorf("查询用户失败: %w", err)
+	}
+
+	return &u, nil
+}
+
+// CreateUser 创建新用户
+func CreateUser(db *sql.DB, username, passwordHash string, isAdmin bool) (*User, error) {
+	now := time.Now()
+	var u User
+	err := db.QueryRow(
+		`INSERT INTO users (username, password_hash, is_admin, created_at, updated_at)
+		 VALUES ($1, $2, $3, $4, $4)
+		 ON CONFLICT (username) DO UPDATE SET updated_at = $4
+		 RETURNING id, username, password_hash, is_admin, created_at, updated_at`,
+		username, passwordHash, isAdmin, now,
+	).Scan(&u.ID, &u.Username, &u.PasswordHash, &u.IsAdmin, &u.CreatedAt, &u.UpdatedAt)
+
+	if err != nil {
+		return nil, fmt.Errorf("创建用户失败: %w", err)
+	}
+
+	return &u, nil
+}