hailin
510a890b33
【根本原因】
- main.ts 缺少 `app.set('trust proxy', 1)`,Express 在 Nginx/Kong 代理后 req.ip
返回的是代理服务器内网 IP(127.0.0.1),而非真实客户端 IP。
- Nginx 已正确设置 X-Forwarded-For / X-Real-IP,但后端从未读取这些 header。
【修复内容】
1. main.ts
- 新增 `app.set('trust proxy', 1)`,使 Express 信任 Nginx 第一跳的
X-Forwarded-For,req.ip 从此返回真实客户端 IP。
2. shared/utils/get-client-ip.ts(新建工具函数)
- 优先读取 X-Forwarded-For(取逗号分隔的第一个 IP,支持多跳代理)
- 其次读取 X-Real-IP
- 兜底使用 req.ip
- 全服务统一使用此函数,避免各处重复逻辑。
3. auth.controller.ts / auth.service.ts
- LOGIN:将 req.ip 改为 getClientIp(req)(已记录 IP,修正来源)
- LOGOUT:之前完全不记录 IP/UA,现在补全传入并存入审计日志。
4. config.service.ts / config.controller.ts
- setConfig / deleteConfig 新增 ipAddress / userAgent 可选参数。
- 新增 recordAuditLog 通用方法,供 Controller 记录任意审计事件。
- 所有写操作(setTransferEnabled、setP2pTransferFee、setConfig、
deleteConfig)均传入真实 IP 和 UA。
- activateMining / deactivateMining 之前完全无审计日志,
现补录 ACTIVATE / DEACTIVATE 类型的 MINING 审计条目。
5. capability-admin.service.ts / capability.controller.ts
- setCapability / setCapabilities / writeAuditLog 均新增
ipAddress / userAgent 参数,Controller 层传入真实 IP。
6. pre-planting-restriction.service.ts / controller
- unlockRestriction 新增 ipAddress / userAgent 参数并写入审计日志。
7. manual-mining.service.ts / controller
- execute 新增 ipAddress / userAgent 参数并写入审计日志。
8. batch-mining.service.ts / controller
- execute 新增 ipAddress / userAgent 参数并写入审计日志
(upload-execute 和 execute 两个入口均已更新)。
【影响范围】
- 仅 mining-admin-service,无数据库 Schema 变更(ipAddress/userAgent 字段已存在)。
- 所有现有接口签名向后兼容(新增参数均为可选)。
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
|
||
|---|---|---|
| .. | ||
| prisma | ||
| src | ||
| .env.example | ||
| DEVELOPMENT_GUIDE.md | ||
| Dockerfile | ||
| nest-cli.json | ||
| package-lock.json | ||
| package.json | ||
| tsconfig.json | ||