fix: 创建users表 + 用户认证系统 (REG1) — 第1轮调试修复
新增 user_store.go 实现 users 表自动建表和 CRUD 注册使用 bcrypt 哈希密码存入 users 表 登录从 users 表查询用户并验证密码 启动时自动种子 admin/admin123 用户 调试文档: docs/debug/2026-05-20-round1-regression-verification.md
This commit is contained in:
@@ -3,6 +3,7 @@ package handler
|
||||
import (
|
||||
"database/sql"
|
||||
"fmt"
|
||||
"log"
|
||||
"net/http"
|
||||
"strings"
|
||||
"time"
|
||||
@@ -12,6 +13,7 @@ import (
|
||||
"golang.org/x/crypto/bcrypt"
|
||||
|
||||
"github.com/yourname/cyrene-ai/gateway/internal/config"
|
||||
"github.com/yourname/cyrene-ai/gateway/internal/store"
|
||||
)
|
||||
|
||||
// AuthHandler 认证处理器
|
||||
@@ -59,8 +61,34 @@ func (h *AuthHandler) Register(c *gin.Context) {
|
||||
return
|
||||
}
|
||||
|
||||
// MVP阶段:使用username直接作为userID
|
||||
// 后续需要接入用户服务进行真实注册
|
||||
// 检查用户名是否已存在
|
||||
if h.db != nil {
|
||||
existingUser, err := store.GetUserByUsername(h.db, req.Username)
|
||||
if err != nil {
|
||||
c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
|
||||
return
|
||||
}
|
||||
if existingUser != nil {
|
||||
c.JSON(http.StatusConflict, gin.H{"error": "用户名已被注册"})
|
||||
return
|
||||
}
|
||||
|
||||
// 密码哈希
|
||||
passwordHash, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
|
||||
if err != nil {
|
||||
c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
|
||||
return
|
||||
}
|
||||
|
||||
// 存入 users 表
|
||||
_, err = store.CreateUser(h.db, req.Username, string(passwordHash), false)
|
||||
if err != nil {
|
||||
c.JSON(http.StatusInternalServerError, gin.H{"error": "注册失败: " + err.Error()})
|
||||
return
|
||||
}
|
||||
}
|
||||
|
||||
// 生成 userID
|
||||
userID := "user_" + req.Username
|
||||
|
||||
// 生成JWT
|
||||
@@ -78,7 +106,7 @@ func (h *AuthHandler) Register(c *gin.Context) {
|
||||
})
|
||||
}
|
||||
|
||||
// Login 用户登录 (支持管理员账户)
|
||||
// Login 用户登录 (支持管理员账户和普通用户)
|
||||
func (h *AuthHandler) Login(c *gin.Context) {
|
||||
var req struct {
|
||||
Username string `json:"username" binding:"required"`
|
||||
@@ -92,26 +120,48 @@ func (h *AuthHandler) Login(c *gin.Context) {
|
||||
|
||||
var userID string
|
||||
|
||||
// 管理员账户验证
|
||||
if req.Username == h.cfg.AdminUsername {
|
||||
// 管理员必须提供正确的密码
|
||||
// 尝试从 users 表查询用户
|
||||
authenticated, err := h.verifyUserPassword(req.Username, req.Password)
|
||||
if err != nil {
|
||||
c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
|
||||
return
|
||||
}
|
||||
|
||||
if authenticated {
|
||||
// 用户存在于 users 表中且密码验证通过
|
||||
if req.Username == h.cfg.AdminUsername {
|
||||
userID = "admin_" + req.Username
|
||||
} else {
|
||||
userID = "user_" + req.Username
|
||||
}
|
||||
} else if req.Username == h.cfg.AdminUsername && h.db != nil {
|
||||
// 管理员用户尚未迁移到 users 表,尝试用配置中的密码验证
|
||||
if req.Password != h.cfg.AdminPassword {
|
||||
c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
|
||||
return
|
||||
}
|
||||
// 密码正确,迁移 admin 到 users 表
|
||||
passwordHash, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
|
||||
if err != nil {
|
||||
log.Printf("⚠ 迁移管理员密码哈希失败: %v", err)
|
||||
} else {
|
||||
if _, err := store.CreateUser(h.db, req.Username, string(passwordHash), true); err != nil {
|
||||
log.Printf("⚠ 迁移管理员到 users 表失败: %v", err)
|
||||
} else {
|
||||
log.Println("✅ 管理员已迁移到 users 表")
|
||||
}
|
||||
}
|
||||
userID = "admin_" + req.Username
|
||||
} else if req.Username == h.cfg.AdminUsername {
|
||||
// 数据库不可用时的回退:使用配置中的管理员密码
|
||||
if req.Password != h.cfg.AdminPassword {
|
||||
c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
|
||||
return
|
||||
}
|
||||
userID = "admin_" + req.Username
|
||||
} else {
|
||||
// 普通用户登录:从数据库查询密码哈希并验证
|
||||
authenticated, err := h.verifyUserPassword(req.Username, req.Password)
|
||||
if err != nil {
|
||||
c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
|
||||
return
|
||||
}
|
||||
if !authenticated {
|
||||
c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
|
||||
return
|
||||
}
|
||||
userID = "user_" + req.Username
|
||||
c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
|
||||
return
|
||||
}
|
||||
|
||||
token, err := h.cfg.GenerateToken(userID)
|
||||
@@ -127,42 +177,29 @@ func (h *AuthHandler) Login(c *gin.Context) {
|
||||
})
|
||||
}
|
||||
|
||||
// verifyUserPassword 验证普通用户的密码
|
||||
// verifyUserPassword 验证用户的密码
|
||||
// 从数据库查询用户的密码哈希并与输入密码比对
|
||||
// 如果用户不存在,返回 (false, nil);如果密码匹配,返回 (true, nil)
|
||||
func (h *AuthHandler) verifyUserPassword(username, password string) (bool, error) {
|
||||
if h.db == nil {
|
||||
// 数据库不可用时回退到简单验证(开发阶段兼容)
|
||||
// 仅允许固定测试密码,不允许空密码登录
|
||||
return password == "test123", nil
|
||||
}
|
||||
|
||||
var storedHash string
|
||||
err := h.db.QueryRow(
|
||||
"SELECT password_hash FROM users WHERE username = $1",
|
||||
username,
|
||||
).Scan(&storedHash)
|
||||
|
||||
if err == sql.ErrNoRows {
|
||||
// 用户不存在
|
||||
// 数据库不可用时无法验证普通用户
|
||||
return false, nil
|
||||
}
|
||||
|
||||
user, err := store.GetUserByUsername(h.db, username)
|
||||
if err != nil {
|
||||
return false, fmt.Errorf("查询用户失败: %w", err)
|
||||
}
|
||||
|
||||
// 使用 bcrypt 验证密码哈希
|
||||
// 如果存储的是明文密码(向后兼容),则直接比对
|
||||
if strings.HasPrefix(storedHash, "$2a$") || strings.HasPrefix(storedHash, "$2b$") || strings.HasPrefix(storedHash, "$2y$") {
|
||||
// bcrypt 哈希
|
||||
if err := bcrypt.CompareHashAndPassword([]byte(storedHash), []byte(password)); err != nil {
|
||||
return false, nil
|
||||
}
|
||||
return true, nil
|
||||
if user == nil {
|
||||
// 用户不存在
|
||||
return false, nil
|
||||
}
|
||||
|
||||
// 明文密码向后兼容(开发阶段)
|
||||
return password == storedHash, nil
|
||||
// 使用 bcrypt 验证密码哈希
|
||||
if err := bcrypt.CompareHashAndPassword([]byte(user.PasswordHash), []byte(password)); err != nil {
|
||||
return false, nil
|
||||
}
|
||||
return true, nil
|
||||
}
|
||||
|
||||
// RefreshToken 刷新令牌
|
||||
|
||||
Reference in New Issue
Block a user