auto-save 2026-05-09 16:18 (+1, ~5)

RULES.md

@@ -8,6 +8,7 @@
 - 发布状态：已部署
 - 主站 / 前端：https://hermes.kang-kang.com
 - API / 后端：同域 `/api/v1` 转发到 LXC `hermes-personal` 内的 `hermes-agent:8642`
+- 飞书桥接：源码在 `server/feishu_bridge.py`；线上计划开放 `/feishu/events`（飞书事件）和 `/feishu/notify`（主动通知）
 - 文档 / 解析：https://styles.kang-kang.com
 - 管理后台：待定
 - 代码仓：https://git.kang-kang.com/kangwan/hermes-glass-ui-personal
@@ -26,7 +27,15 @@
 - 部署完成后，`RULES.md` 和 `.project.json` 必须同一次任务一起更新
 
 ## 环境变量
-- 待补充
+- 飞书桥接服务：
+  - `FEISHU_APP_ID`
+  - `FEISHU_APP_SECRET`（敏感，不入库）
+  - `FEISHU_VERIFICATION_TOKEN`（可选，建议配置）
+  - `FEISHU_DEFAULT_RECEIVE_ID` / `FEISHU_DEFAULT_RECEIVE_ID_TYPE`（主动通知默认目标）
+  - `FEISHU_NOTIFY_TOKEN`（主动通知内部鉴权，敏感，不入库）
+  - `HERMES_API_BASE`
+  - `HERMES_API_KEY`（敏感，不入库）
+  - `HERMES_MODEL`
 
 ## 规则
 - 不允许编造不存在的部署域名、账号、密码
@@ -34,4 +43,6 @@
 - 任何部署或域名变化，都要先改元数据，再视为任务完成
 
 ## 注意事项
-- 待补充
+- 飞书 App Secret、Hermes API key、主动通知 token 只能放部署环境或忽略的 secrets 文件，不允许写入跟踪文件
+- 当前飞书桥接版本按明文事件回调处理；如果飞书后台开启事件加密，需要先补充解密支持
+- 主站有 cookie 门禁；部署飞书桥接时必须在 nginx/Coolify 对 `/feishu/events` 放行，否则飞书服务器无法完成 URL 校验和事件投递