feat: add protected login workspace

2026-05-19 15:18:13 +08:00
parent aa03bae91e
commit 091a19556c
14 changed files with 1064 additions and 6 deletions
--- a/RULES.md
+++ b/RULES.md
@@ -12,13 +12,17 @@
 - 服务名 / 容器名：`ai-toy-patent-workflow`
 - 服务器路径：`/opt/ai-toy-patent-workflow`
 - 主站 / 前端：https://ai-toy.kang-kang.com
+- 登录页：https://ai-toy.kang-kang.com/login
 - 本地 Docker：http://localhost:4560
 - API / 后端：内置 Next.js API Route（生产同域名）
 - 文档 / 解析：无
 - 管理后台：无

 ## 快捷登录
- 无登录系统（本地工具）
+- 已启用应用内登录页
+- 登录地址：`https://ai-toy.kang-kang.com/login`
+- 用户名 / 密码：见 `.project.json.quick_login`；生产备份在 VPS `/root/ai-toy-patent-workflow-login.txt`
+- 会话：HttpOnly HMAC Cookie，生产变量只放 VPS `deploy/.env.production`

 ## 元数据回写清单
 - 改公网域名或迁移部署时，更新 `.project.json.urls` + 本节
@@ -39,9 +43,13 @@
 - `SEEDANCE_MODEL` — 默认 `doubao-seedance-2-0-260128`
 - `SEEDANCE_API_BASE` — 默认 `https://ark.cn-beijing.volces.com/api/v3`
 - `PUBLIC_APP_URL` — 生产填公网入口，用于把 `/api/img/...` 补成 Seedance 可访问的绝对 URL
+- `WEB_AUTH_USERNAME` / `WEB_AUTH_PASSWORD` / `WEB_AUTH_SESSION_SECRET` — 网页登录；真实值只放 `.env.local` 和 VPS `deploy/.env.production`
+- `WEB_AUTH_COOKIE_NAME` — 默认 `ai_toy_session`
+- `WEB_AUTH_COOKIE_SECURE` — 本地 `false`，生产 `true`
 - 配置位置：`.env.local`（gitignored），参考 `.env.local.example`
 - 生产配置模板：`deploy/.env.production.example`；真实生产值只放 VPS 的 `/opt/ai-toy-patent-workflow/deploy/.env.production`
 - 图片生成未配置 GPT Key 时回退 mock（SVG 占位图），视频生成不 mock，必须配置 Seedance Key
+- 除 `/login`、`/api/auth/*` 和 `/api/img/*` 外，页面与 API 都需要登录；`/api/img/*` 保持公开是为了 Seedance 能从公网读取参考图

 ## 规则
 - 全项目规则真源：`/Users/kangwan/Projects/code/20260317-rules-dashboard/RULES.md`