xiaji b500613d22 feat(auth): 限制同时在线 IP 数 (默认 30, 第 31 拒绝) ...

背景: 防 token 泄漏被滥用 + 限共享账号人数。

- 新增 app/services/active_ip.py:
    Redis ZSET 'active_ips' 存 IP,score=last_seen_unix
    登录/refresh 时 check_or_register_login_ip():
        IP 已在 set → 刷新 score,放行(老用户重连)
        IP 不在 set + ZCARD < 30 → 加入,放行
        IP 不在 set + ZCARD >= 30 → raise 429
    每个已认证请求 _resolve_user() 调 touch_ip_dependency()
        滑动 TTL,30 天没活动自动从 set 剔除
- get_client_ip() 取真实 IP,优先级 X-Forwarded-For > X-Real-IP > client.host
    trust_x_forwarded_for 默认 True(生产 Caddy/Nginx 后面)
- config 加 3 个开关:
    site_max_active_ips: int = 30
    site_active_ip_idle_days: int = 30
    trust_x_forwarded_for: bool = True
- admin.py 加 3 个端点:
    GET  /admin/active-ips       — 看当前活跃 IP 列表 + last_seen
    POST /admin/active-ips/kick  — 强制踢出指定 IP(body={ip})
    DELETE /admin/active-ips/{ip}— 简写踢出
- 注: refresh 也算 IP 占用(拿到 access token 就能用)
    但已存在的 IP 直接放行,不会踢自己

2026-06-13 18:22:40 +08:00

..

fetchers

fix(fetcher): fulltext 抓取用真实浏览器 UA,绕过 NHK 等 403

2026-06-08 15:55:30 +08:00

llm

feat(meituan): 政治类文章拦截 + 写'无可奉告' + Angel 并发 3→1

2026-06-12 22:44:00 +08:00

translation

fix(translate): 拦截引擎错误 marker + pipeline 严格 status 判定,避免 TMT AuthFailure 伪装 ok

2026-06-11 10:01:19 +08:00

__init__.py

feat: initial MVP - FastAPI backend + Vue3 frontend + docker-compose

2026-06-07 21:51:01 +08:00

active_ip.py

feat(auth): 限制同时在线 IP 数 (默认 30, 第 31 拒绝)

2026-06-13 18:22:40 +08:00