hermes-glass-ui-personal/RULES.md

# Hermes Glass UI · 个人版

## 启动
- `待补充`

## 部署事实
- 平台：Hetzner VPS `76.13.31.179` + Coolify Traefik + Incus LXC `hermes-personal` + Docker `hermes-agent`
- 发布状态：已部署
- 主站 / 前端：https://hermes.kang-kang.com
- API / 后端：同域 `/api/v1` 转发到 LXC `hermes-personal` 内的 `hermes-agent:8642`
- 飞书桥接：已部署 systemd `hermes-feishu-bridge.service`，宿主 `127.0.0.1:8787`
- 飞书事件回调：https://hermes.kang-kang.com/feishu/events
- 飞书事件回调（`cli_a97764e101b95be9`）：https://hermes.kang-kang.com/feishu/events/cli_a97764e101b95be9
- 飞书主动通知：https://hermes.kang-kang.com/feishu/notify
- 文档 / 解析：https://styles.kang-kang.com
- 管理后台：待定
- 代码仓：https://git.kang-kang.com/kangwan/hermes-glass-ui-personal

## 快捷登录
- 登录地址：https://hermes.kang-kang.com
- 用户名：kang
- 密码：elErZOoJ35ywNlq222UTQnm3IbN9pv24
- 说明：这里只写项目专属网页登录；数据库密码、API Key、服务器 root 密码不要写这里

## 元数据回写清单
- 新增或变更公网地址后，必须同步更新 `.project.json.urls`
- 如果有网页后台登录：
  - 可直接入库：写 `.project.json.quick_login`
  - 不应入库：写 `.project.json.credentials` 引用
- 部署完成后，`RULES.md` 和 `.project.json` 必须同一次任务一起更新

## 环境变量
- 飞书桥接服务：
  - `FEISHU_APP_ID`
  - `FEISHU_APP_SECRET`（敏感，不入库）
  - `FEISHU_APP_ID_2`
  - `FEISHU_APP_SECRET_2`（敏感，不入库）
  - `FEISHU_VERIFICATION_TOKEN`（可选，建议配置）
  - `FEISHU_VERIFICATION_TOKEN_2`（可选，建议配置）
  - `FEISHU_DEFAULT_RECEIVE_ID` / `FEISHU_DEFAULT_RECEIVE_ID_TYPE`（主动通知默认目标）
  - `FEISHU_DEFAULT_RECEIVE_ID_2` / `FEISHU_DEFAULT_RECEIVE_ID_TYPE_2`（第二应用主动通知默认目标）
  - `FEISHU_DEFAULT_APP_ID`
  - `FEISHU_NOTIFY_TOKEN`（主动通知内部鉴权，敏感，不入库）
  - `HERMES_API_BASE`
  - `HERMES_API_KEY`（敏感，不入库）
  - `HERMES_MODEL`

## 规则
- 不允许编造不存在的部署域名、账号、密码
- 没有公网地址时，`.project.json.urls` 保持空数组
- 任何部署或域名变化，都要先改元数据，再视为任务完成

## 注意事项
- 飞书 App Secret、Hermes API key、主动通知 token 只能放部署环境或忽略的 secrets 文件，不允许写入跟踪文件
- 线上飞书桥接环境：`/etc/hermes-feishu-bridge.env`，mode 600
- 飞书后台配置所需回调 URL、verification token、notify token 备份：`/root/hermes-feishu-bridge.tokens`，mode 600
- 当前飞书桥接版本按明文事件回调处理；如果飞书后台开启事件加密，需要先补充解密支持
- 主站有 cookie 门禁；nginx 已对 `/feishu/` 单独放行并反代到飞书桥接服务