feat: 系统全面优化 - 设备管理/登录日志导出/性能监控/设置页面

后端： - 新增全局设备管理 API（DeviceHandler.GetAllDevices） - 新增登录日志导出功能（LogHandler.ExportLoginLogs, CSV/XLSX） - 新增设置服务（SettingsService）和设置页面 API - 设备管理支持多条件筛选（状态/信任状态/关键词） - 登录日志支持流式导出防 OOM - 操作日志支持按方法/时间范围搜索 - 主题配置服务（ThemeService） - 增强监控健康检查（Prometheus metrics + SLO） - 移除旧 ratelimit.go（已迁移至 robustness） - 修复 SocialAccount NULL 扫描问题 - 新增 API 契约测试、Handler 测试、Settings 测试前端： - 新增管理员设备管理页面（DevicesPage） - 新增管理员登录日志导出功能 - 新增系统设置页面（SettingsPage） - 设备管理支持筛选和分页 - 增强 HTTP 响应类型测试： - 业务逻辑测试 68 个（含并发 CONC_001~003） - 规模测试 16 个（P99 百分位统计） - E2E 测试、集成测试、契约测试 - 性能基准测试、鲁棒性测试全面测试通过（38 个测试包）
2026-04-07 12:08:16 +08:00
parent 8655b39b03
commit 5ca3633be4
36 changed files with 4552 additions and 134 deletions
--- a/internal/service/password_reset.go
+++ b/internal/service/password_reset.go
@@ -3,6 +3,7 @@ package service
 import (
 	"context"
 	cryptorand "crypto/rand"
+	"crypto/subtle"
 	"encoding/hex"
 	"errors"
 	"fmt"
@@ -13,6 +14,7 @@ import (
 	"github.com/user-management-system/internal/auth"
 	"github.com/user-management-system/internal/cache"
 	"github.com/user-management-system/internal/domain"
+	"github.com/user-management-system/internal/repository"
 	"github.com/user-management-system/internal/security"
 )

@@ -46,9 +48,10 @@ func DefaultPasswordResetConfig() *PasswordResetConfig {
 }

 type PasswordResetService struct {
-	userRepo userRepositoryInterface
-	cache    *cache.CacheManager
-	config   *PasswordResetConfig
+	userRepo            userRepositoryInterface
+	cache               *cache.CacheManager
+	config              *PasswordResetConfig
+	passwordHistoryRepo *repository.PasswordHistoryRepository
 }

 func NewPasswordResetService(
@@ -66,6 +69,12 @@ func NewPasswordResetService(
 	}
 }

+// WithPasswordHistoryRepo 注入密码历史 repository，用于重置密码时记录历史
+func (s *PasswordResetService) WithPasswordHistoryRepo(repo *repository.PasswordHistoryRepository) *PasswordResetService {
+	s.passwordHistoryRepo = repo
+	return s
+}
+
 func (s *PasswordResetService) ForgotPassword(ctx context.Context, email string) error {
 	user, err := s.userRepo.GetByEmail(ctx, email)
 	if err != nil {
@@ -216,7 +225,7 @@ func (s *PasswordResetService) ResetPasswordByPhone(ctx context.Context, req *Re
 	}

 	code, ok := storedCode.(string)
-	if !ok || code != req.Code {
+	if !ok || subtle.ConstantTimeCompare([]byte(code), []byte(req.Code)) != 1 {
 		return errors.New("验证码不正确")
 	}

@@ -258,6 +267,18 @@ func (s *PasswordResetService) doResetPassword(ctx context.Context, user *domain
 		return err
 	}

+	// 检查密码历史（防止重用近5次密码）
+	if s.passwordHistoryRepo != nil {
+		histories, err := s.passwordHistoryRepo.GetByUserID(ctx, user.ID, passwordHistoryLimit)
+		if err == nil {
+			for _, h := range histories {
+				if auth.VerifyPassword(h.PasswordHash, newPassword) {
+					return errors.New("新密码不能与最近5次密码相同")
+				}
+			}
+		}
+	}
+
 	hashedPassword, err := auth.HashPassword(newPassword)
 	if err != nil {
 		return fmt.Errorf("密码加密失败: %w", err)
@@ -268,5 +289,19 @@ func (s *PasswordResetService) doResetPassword(ctx context.Context, user *domain
 		return fmt.Errorf("更新密码失败: %w", err)
 	}

+	// 写入密码历史记录
+	if s.passwordHistoryRepo != nil {
+		go func() {
+			// 使用带超时的独立 context，防止 DB 写入无限等待
+			bgCtx, cancel := context.WithTimeout(context.Background(), 5*time.Second)
+			defer cancel()
+			_ = s.passwordHistoryRepo.Create(bgCtx, &domain.PasswordHistory{
+				UserID:       user.ID,
+				PasswordHash: hashedPassword,
+			})
+			_ = s.passwordHistoryRepo.DeleteOldRecords(bgCtx, user.ID, passwordHistoryLimit)
+		}()
+	}
+
 	return nil
 }