33 Commits

Author	SHA1	Message	Date
win	85ed193ff0	feat(tls): 更新 DoWithTLS 所有调用点至新三模式签名 ... - DoWithTLS 签名变更：(bool/profile) → (TLSMode, profile) - 所有调用方传入 account.GetTLSMode() 以支持 node/utls/off 三模式 - gateway_service.go、gemini_messages_compat、forward_as_* 全部更新 - claude_usage_service 的 ClaudeUsageFetchOptions 新增 TLSMode 字段 - 新增 decompressResponseBody（gzip/brotli/deflate）到 http_upstream.go - 新增 antigravity_privacy_service.go（setAntigravityPrivacy） - admin_service 新增 ForceOpenAIPrivacy/EnsureAntigravityPrivacy/ForceAntigravityPrivacy - antigravity.Client 新增 SetUserSettings/FetchUserInfo API	2026-03-27 22:29:17 +08:00
shaw	574fa9dfbd	feat(tls-fingerprint): 新增 TLS 指纹 Profile 数据库管理及代码质量优化 ... 新增功能： - 新增 TLS 指纹 Profile CRUD 管理（Ent schema + 迁移 + Admin API + 前端管理界面） - 支持账号绑定数据库中的自定义 TLS Profile，或随机选择（profile_id=-1） - HTTPUpstream.DoWithTLS 接口从 bool 改为 *tlsfingerprint.Profile，支持按账号指定 Profile - AccountUsageService 注入 TLSFingerprintProfileService，统一 usage 场景与网关的 Profile 解析逻辑 代码优化： - 删除已被 TLSFingerprintProfileService 完全取代的 registry.go 死代码（418 行） - 提取 3 个 dialer 的重复 TLS 握手逻辑为 performTLSHandshake() 共用函数 - 修复 GetTLSFingerprintProfileID 缺少 json.Number 处理的 bug - gateway_service.Forward 中 ResolveTLSProfile 从重试循环内重复调用改为预解析局部变量 - 删除冗余的 buildClientHelloSpec() 单行 wrapper 和 int64(e.ID) 无效转换 - tls_fingerprint_profile_cache.go 日志从 log.Printf 改为 slog 结构化日志 - dialer_capture_test.go 添加 //go:build integration 标签，防止 CI 失败 - 去重 TestProfileExpectation 类型至共享 test_types_test.go - 修复 9 个测试文件缺少 tlsfingerprint import 的编译错误 - 修复 error_policy_integration_test.go 中 handleError 回调签名被错误替换的问题	2026-03-27 22:00:07 +08:00
win	ffe6a5e331	feat: Antigravity 100% 指纹还原 + BoringCrypto TLS ... Antigravity: - Client ID 保留双 ID 支持（二进制确认两个都存在） - Daily URL 去掉 .sandbox 后缀（日志确认） - Redirect URI /callback → /oauth-callback（extension.js 确认） - User-Agent 动态 OS/arch: antigravity/{ver} {os}/{arch} - 新增 x-goog-api-client: gl-go/{goVer} gax-go/v2 grpc-go/1.81.0-dev - googleapis 不再走 Node.js proxy → Go 原生 TLS（匹配真实 BoringCrypto） - 新增 Go 后端心跳服务（每5分钟 loadCodeAssist + fetchAvailableModels） - Dockerfile 切换 BoringCrypto 编译（CGO_ENABLED=1 GOEXPERIMENT=boringcrypto） GeminiCLI: - User-Agent 动态化: GeminiCLI/0.1.5 ({OS}; {ARCH}) - AI Studio 请求补上 User-Agent Claude: - CLI 版本 2.1.84, 包版本 0.74.0, 运行时 v24.3.0 - Token 交换 axios/1.13.6, timeout 15s - proxy.js 仅服务 api.anthropic.com（Claude 专属） 架构变更: - Node.js proxy 仅用于 Claude (api.anthropic.com) - Antigravity (googleapis) 走 Go 原生 HTTP + GOST proxy - TLS 指纹: Go BoringCrypto ≈ 真实 Antigravity BoringCrypto	2026-03-27 02:24:03 +08:00
win	8c6e578a84	feat: IP管理代理与 node-tls-proxy 指纹伪装共存 ... - Do()/DoWithTLS() 移除 proxyURL=="" 条件，绑了代理也走 node-tls-proxy - doViaNodeTLSProxy 通过 X-Upstream-Proxy header 传递账号代理给 node-tls-proxy - node-tls-proxy 支持 per-request 动态上游代理，优先 X-Upstream-Proxy，回退全局 UPSTREAM_PROXY - 效果：IP管理 = 落地机网络，账号绑代理后指纹伪装仍然生效	2026-03-26 14:00:17 +08:00
win	e5d78f8e56	refactor: 将自定义代码集中到 antigravity/ 目录和 *_antigravity.go 文件 ... - antigravity/node-tls-proxy/ ← 原 tools/node-tls-proxy - antigravity/firewall/ ← 原 tools/firewall - antigravity/maintenance/ ← 原 tools/maintenance - repository/http_upstream_antigravity.go ← Node.js 代理 3 个方法（原在 http_upstream.go） - service/identity_service_antigravity.go ← ApplyDefaultFingerprintOverrides + NewIdentityServiceWithSalt - service/account_antigravity.go ← Gemini TLS 指纹扩展函数 对上游文件 http_upstream.go 的钩子调用精简为 2 处 if 块（共 14 行） 对上游文件 account.go Gemini 分支精简为 1 行函数调用 便于 upstream rebase 时快速识别和保留自定义改动	2026-03-25 11:37:27 +08:00
win	44539d5b32	feat: Antigravity (googleapis.com) 也走 Node.js TLS 代理，消除 Go 指纹	2026-03-25 11:37:27 +08:00
win	3c8ffd3efc	fix: 双模型审查 Critical 修复 ... 1. Sora session_key 按 accountID 隔离（消除跨账号指纹关联） 2. 有 per-account 代理的 Sora 账号跳过 sidecar（保持代理 IP） 3. 请求体用 base64 编码传输（防止二进制数据损坏） 4. Node.js 代理 Body 用 GetBody 安全复制（修复重试时 Body 枯竭）	2026-03-25 11:37:27 +08:00
win	4a92f1903f	fix: 架构审查修复 3 个 bug ... 1. instanceSalt 空值兼容：salt 为空时保持原始 hash 格式不变 避免升级后所有 user_id hash 突变触发 Anthropic 检测 2. doViaNodeTLSProxy 克隆请求：不修改原始 req 对象 修复重试时 URL 已被改写导致请求失败 3. Sora doSoraBackendJSON 漏改：补上 sidecar 路由	2026-03-25 11:37:27 +08:00
win	99c77c4641	fix: 有 per-account 代理的账号不走 Node.js 代理，防止 IP 变化触发风控	2026-03-25 11:37:27 +08:00
win	4bca447e33	fix: Node.js TLS 代理仅拦截 api.anthropic.com，修复 Sora 404	2026-03-25 11:37:27 +08:00
win	d38b672d54	fix: Node.js TLS 代理仅拦截 Anthropic 请求（DoWithTLS 路径） ... - Do() 去掉 Node.js 代理拦截，Antigravity/Google 请求走原路径 - 只有 DoWithTLS 且 enableTLSFingerprint=true 时走 Node.js 代理 - 按平台分治：Anthropic → Node.js 原生 TLS，Google → 原有 uTLS/直连	2026-03-25 11:37:27 +08:00
win	0086cfdfe8	fix: Node.js TLS 代理对所有 HTTPS 上游生效，去掉域名白名单 ... - 移除 proxy_hosts 白名单限制和 shouldRouteViaNodeProxy - 所有 HTTPS 上游请求统一走 Node.js 代理 - 通过 X-Forwarded-Host 动态识别目标主机 - Anthropic / Gemini / 任意上游自动适配 - 移除诊断日志（已定位问题）	2026-03-25 11:37:27 +08:00
win	cb035e4637	diag: 在 DoWithTLS 路径也添加诊断日志	2026-03-25 11:37:27 +08:00
win	47fba12a75	fix: Node.js TLS 代理按 proxy_hosts 白名单过滤 + 诊断日志 ... - 新增 proxy_hosts 配置：可配置需要走 Node.js 代理的主机列表 - 默认仅代理 api.anthropic.com，Gemini/Sora 走原路径 - 添加 warn 级别诊断日志，输出请求的 scheme/host/hostname/should_route - 用于定位 Anthropic 请求未命中 Node.js 代理的原因	2026-03-25 11:37:27 +08:00
win	45c90b22eb	fix: Node.js TLS 代理按主机白名单过滤，Gemini 走原路径 ... - 新增 proxy_hosts 配置：白名单内的主机走 Node.js 代理 - 默认仅代理 api.anthropic.com - Gemini/Sora 等非 Anthropic 请求自动走原有 uTLS 路径 - 解决 Gemini 请求经 Node.js 代理后 socket hang up 的问题	2026-03-25 11:37:27 +08:00
win	5de1618e08	fix: Node.js TLS 代理动态识别上游主机 ... - Go: 通过 X-Forwarded-Host 传递原始目标主机给 Node.js 代理 - Node.js: 读取 X-Forwarded-Host 动态连接到正确的上游主机 - 所有 HTTPS 上游请求统一走代理，不再固定绑定 api.anthropic.com - Gemini/Sora 等不同上游自动识别，无需手动配置	2026-03-25 11:37:27 +08:00
win	71a068c193	fix: Node.js TLS 代理对所有 HTTPS 上游请求生效 ... Do() 方法新增 Node.js 代理检查，不再依赖账号级 TLS 指纹开关。 当 node_tls_proxy.enabled=true 时，所有 HTTPS 上游请求统一走 Node.js 代理，确保 JA3/JA4 指纹一致。	2026-03-25 11:37:26 +08:00
win	8cac4269aa	feat: Node.js TLS 指纹代理 + 网络隔离防泄露 ... - 新增 Node.js TLS Forward Proxy (tools/node-tls-proxy/) 原生 Node.js TLS 栈发起上游 HTTPS，JA3/JA4 天然匹配 Claude CLI SSE 流式透传，支持上游 HTTP CONNECT 代理 零依赖，Node.js 24.13.0 锁定版本 - Go 集成 (config.go + http_upstream.go) 新增 NodeTLSProxyConfig 配置 DoWithTLS 优先走 Node.js 代理模式，URL 重写 https→http://localhost:3456 - Docker 网络隔离 (docker-compose.tls-proxy.yml) sub2api 容器仅 internal 网络，物理隔离外网 node-tls-proxy 唯一出站通道，IPv6 内核级禁用 - iptables 防泄露脚本 (tools/firewall/) QUIC/UDP 443 全局 DROP，仅 nodeproxy 用户可出站 TCP 443 - 镜像切换为 zfc931912343/ 仓库	2026-03-25 11:37:26 +08:00
QTom	fdcbf7aacf	feat(proxy): 集中代理 URL 验证并实现全局 fail-fast ... 提取 proxyurl.Parse() 公共包，将分散在 6 处的代理 URL 验证逻辑 统一收敛，确保无效代理配置在创建时立即失败，永不静默回退直连。 主要变更： - 新增 proxyurl 包：统一 TrimSpace → url.Parse → Host 校验 → Scheme 白名单 - socks5:// 自动升级为 socks5h://，防止 DNS 泄漏（大小写不敏感） - antigravity: http.ProxyURL → proxyutil.ConfigureTransportProxy 支持 SOCKS5 - openai_oauth: 删除 newOpenAIOAuthHTTPClient，收编至 httpclient.GetClient - 移除未使用的 ProxyStrict 字段（fail-fast 已是全局默认行为） - 补充 15 个 proxyurl 测试 + pricing/usage fail-fast 测试	2026-03-02 16:04:20 +08:00
shaw	ccfeaeb22d	feat: 新增会话ID伪装功能，优化日志系统 ... - 新增 session_id_masking_enabled 配置，启用后将在15分钟内固定 metadata.user_id 中的 session ID - TLS fingerprint 模块日志从自定义 debugLog 迁移到 slog - main.go 添加 slog 初始化，根据 gin mode 设置日志级别 - 前端创建/编辑账号模态框添加会话ID伪装开关 - 多语言支持（中英文）	2026-01-19 10:22:13 +08:00
shaw	9abda1bc59	feat(tls): 新增 TLS 指纹模拟功能	2026-01-18 20:08:40 +08:00
yangjianbo	794a9f969b	feat(安全): 添加安全开关并完善测试流程 ... 实现安全开关默认关闭与响应头透传逻辑 - URL 校验与响应头过滤支持开关并覆盖流式路径 - 非流式 Content-Type 透传/默认值按配置生效 - 接入 go test、golangci-lint 与前端 lint/typecheck - 补充相关测试与配置/文档说明	2026-01-05 13:54:43 +08:00
yangjianbo	25a0d49af9	chore(合并): 同步主分支变更并解决冲突 ... - 合并 wire/httpclient/http_upstream/proxy_probe 冲突并保留校验逻辑 - 引入 proxyutil 及测试，完善代理配置 - 更新 goreleaser/workflow 与前端细节调整 测试: go test ./...	2026-01-04 20:29:39 +08:00
yangjianbo	73ffb58518	fix(流式): 提升SSE稳定性并统一超时配置 ... - 扩展SSE行长与间隔超时处理，补充keepalive - 写入失败与超长行时发送错误事件，修复并发释放 - 同步默认配置与示例配置，更新Caddy超时/压缩规则 - 新增OpenAI流式超时与超长行测试 测试: go test ./...	2026-01-04 19:49:59 +08:00
shaw	70e9329e64	feat(proxy): 统一代理配置并支持 SOCKS5H 协议 ... - 新增 proxyutil 包，统一 HTTP/HTTPS/SOCKS5/SOCKS5H 代理配置逻辑 - SOCKS5H 支持服务端 DNS 解析，避免本地 DNS 泄露 - 移除 ProxyStrict 宽松模式，代理失败直接返回错误不回退直连 - 前端代理管理页面支持 SOCKS5H 协议的添加/编辑/批量导入 - 补充 IPv6 地址和特殊字符密码的边界测试	2026-01-04 11:43:58 +08:00
yangjianbo	25e1632628	fix(安全): 修复上游校验与 URL 清理问题 ... 增加请求阶段 DNS 解析校验，阻断重绑定到私网 补充默认透传 WWW-Authenticate 头，保留认证挑战 前端相对 URL 过滤拒绝 // 协议相对路径 测试: go test ./internal/repository -run TestGitHubReleaseServiceSuite 测试: go test ./internal/repository -run TestTurnstileServiceSuite 测试: go test ./internal/repository -run TestProxyProbeServiceSuite 测试: go test ./internal/repository -run TestClaudeUsageServiceSuite	2026-01-03 10:52:24 +08:00
yangjianbo	682f546c0e	fix(lint): 修复 golangci-lint 报告的代码问题 ... - errcheck: 修复类型断言未检查返回值的问题 - pool.go: 添加 sync.Map 类型断言安全检查 - req_client_pool.go: 添加 sync.Map 类型断言安全检查 - concurrency_cache_benchmark_test.go: 显式忽略断言返回值 - gateway_service.go: 显式忽略 WriteString 返回值 - gofmt: 修复代码格式问题 - redis.go: 注释对齐 - api_key_repo.go: 结构体字段对齐 - concurrency_cache.go: 字段对齐 - http_upstream.go: 注释对齐 - unused: 删除未使用的代码 - user_repo.go: 删除未使用的 sql 字段 - usage_service.go: 删除未使用的 calculateStats 函数 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2025-12-31 14:51:58 +08:00
yangjianbo	820bb16ca7	fix(网关): 防止连接池缓存失控 ... 超限且无可淘汰条目时拒绝新建 规范化代理地址并更新失败时的访问时间 补充连接池上限与代理规范化测试	2025-12-31 12:01:31 +08:00
yangjianbo	d1c9889609	perf(网关): 实现上游账号连接池隔离 ... 新增隔离策略与连接池缓存回收 连接池大小跟随账号并发并处理代理切换 同步配置默认值与示例并补充测试	2025-12-31 11:43:58 +08:00
yangjianbo	7efa8b54c4	perf(后端): 完成性能优化与连接池配置 ... 新增 DB/Redis 连接池配置与校验，并补充单测 网关请求体大小限制与 413 处理 HTTP/req 客户端池化并调整上游连接池默认值 并发槽位改为 ZSET+Lua 与指数退避 用量统计改 SQL 聚合并新增索引迁移 计费缓存写入改工作池并补测试/基准 测试: 在 backend/ 下运行 go test ./...	2025-12-31 08:50:12 +08:00
Forest	f51ad2e126	refactor: 删除 ports 目录	2025-12-25 17:15:01 +08:00
Forest	836c4dda2b	refactor: 重命名 go module	2025-12-24 21:07:21 +08:00
shaw	6c469b42ed	feat: 新增支持codex转发	2025-12-22 22:58:31 +08:00