GitLab

Add ListByUserPaginated and SumPositiveBalanceByUser to redeemRepoStub
Add GetUserBalanceHistory to stubAdminService

Fixes CI test compilation errors

- 后端 DTO 新增 scope_rate_limits 字段，从 extra 提取限流信息
- 前端状态列显示 scope 级限流徽章（Claude/Gemini/Image）
- 清除速率限制时同时清除账号级和 scope 级限流（已有实现）

Cherry-picked from slovx2/sub2api: 66f49b67

- Add new API endpoint GET /admin/users/:id/balance-history with pagination and type filter
- Add SumPositiveBalanceByUser for calculating total recharged amount
- Create UserBalanceHistoryModal component with:
  - User info header (email, username, created_at, current balance, notes, total recharged)
  - Type filter dropdown (all/balance/admin_balance/concurrency/admin_concurrency/subscription)
  - Quick deposit/withdraw buttons
  - Paginated history list with icons and colored values
- Add instant tooltip on balance column for better UX
- Add z-index prop to BaseDialog for modal stacking control
- Update i18n translations (zh/en)

- 创建分组时可选择从已有分组复制账号
- 编辑分组时支持同步账号（全量替换操作）
- 仅允许选择相同平台的源分组
- 添加完整的数据校验：去重、自引用检查、平台一致性检查
- 前端支持多选源分组，带提示说明操作行为

- 新增 CalculateCostWithLongContext 方法支持阈值双倍计费
- 新增 RecordUsageWithLongContext 方法专用于 Gemini 计费
- Gemini 超过 200K token 的部分按 2 倍费率计算
- 其他平台（Claude/OpenAI）完全不受影响

新增 IgnoreInvalidApiKeyErrors 开关，启用后 INVALID_API_KEY 和
API_KEY_REQUIRED 错误将被完全跳过，不写入 Ops 错误日志。
这些错误由用户错误配置导致，与服务质量无关。

将账户停用 (USER_INACTIVE) 导致的请求失败视为业务限制类错误，不计入 SLA 和错误率统计。

账户停用是预期内的业务结果，不应被视为系统错误或服务质量问题。此改动使错误分类更加准确，避免将预期的业务限制误报为系统故障。

修改内容：
- 在 classifyOpsIsBusinessLimited 函数中添加 USER_INACTIVE 错误码
- 该类错误不再触发错误率告警

Fixes Wei-Shaw/sub2api#453

为 CC Switch 集成增强 /v1/usage 网关端点，在保持原有 4 字段
(isValid, planName, remaining, unit) 向后兼容的基础上，新增：

- usage 对象：今日/累计的请求数、token 用量、费用，以及 RPM/TPM
- subscription 对象（订阅模式）：日/周/月用量和限额、过期时间
- balance 字段（余额模式）：当前钱包余额

用量数据获取采用 best-effort 策略，失败不影响基础响应。
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- 为RedeemCode DTO添加notes字段（仅用于admin_balance/admin_concurrency类型）
- 更新mapper使其有条件地包含备注信息
- 在用户兑换历史UI中显示备注
- 备注以斜体显示，悬停时显示完整内容

用户现在可以看到管理员调整其余额的原因说明。

Changes:
- backend/internal/handler/dto/types.go: RedeemCode添加notes字段
- backend/internal/handler/dto/mappers.go: 条件性填充notes
- frontend/src/api/redeem.ts: TypeScript接口添加notes
- frontend/src/views/user/RedeemView.vue: UI显示备注信息

Implements announcements end-to-end (admin CRUD + read status, user list + mark read) with OR-of-AND targeting. Also breaks the ent<->service import cycle by moving schema-facing constants/targeting into a new domain package.

新增功能：
- 新增 Sora 账号管理和 OAuth 认证
- 新增 Sora 视频/图片生成 API 网关
- 新增 Sora 任务调度和缓存机制
- 新增 Sora 使用统计和计费支持
- 前端增加 Sora 平台配置界面

安全修复（代码审核）：
- [SEC-001] 限制媒体下载响应体大小（图片 20MB、视频 200MB），防止 DoS 攻击
- [SEC-002] 限制 SDK API 响应大小（1MB），防止内存耗尽
- [SEC-003] 修复 SSRF 风险，添加 URL 验证并强制使用代理配置

BUG 修复（代码审核）：
- [BUG-001] 修复 for 循环内 defer 累积导致的资源泄漏
- [BUG-002] 修复图片并发槽位获取失败时已持有锁未释放的永久泄漏

性能优化（代码审核）：
- [PERF-001] 添加 Sentinel Token 缓存（3 分钟有效期），减少 PoW 计算开销

技术细节：
- 使用 io.LimitReader 限制所有外部输入的大小
- 添加 urlvalidator 验证防止 SSRF 攻击
- 使用 sync.Map 实现线程安全的包级缓存
- 优化并发槽位管理，添加 releaseAll 模式防止泄漏

影响范围：
- 后端：新增 Sora 相关数据模型、服务、网关和管理接口
- 前端：新增 Sora 平台配置、账号管理和监控界面
- 配置：新增 Sora 相关配置项和环境变量
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

- 新增 /purchase 页面（iframe + 新窗口兜底）

- 管理员系统设置可配置开关与URL

- 非 simple mode 才在侧边栏展示入口

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

## 问题背景

1. Gemini CLI 没有明确的会话标识（如 Claude Code 的 metadata.user_id）
2. thoughtSignature 与具体上游账号强绑定，跨账号使用会导致 400 错误
3. 粘性会话切换账号或 cache 丢失时，旧签名会导致请求失败

## 解决方案

### 1. Gemini CLI 会话标识提取

- 从 `x-gemini-api-privileged-user-id` header 和请求体中的 tmp 目录哈希生成会话标识
- 组合策略：SHA256(privileged-user-id + ":" + tmp_dir_hash)
- 正则提取：`/\.gemini/tmp/([A-Fa-f0-9]{64})`

### 2. 跨账号 thoughtSignature 清理

实现三种场景的智能清理：

1. **Cache 命中 + 账号切换**
   - 粘性会话绑定的账号与当前选择的账号不同时清理

2. **同一请求内 failover 切换**
   - 通过 sessionBoundAccountID 跟踪，检测重试时的账号切换

3. **Gemini CLI + Cache 未命中 + 含签名**
   - 预防性清理，避免 cache 丢失后首次转发就 400
   - 仅对 Gemini CLI 请求且请求体包含 thoughtSignature 时触发

## 修改内容

### backend/internal/handler/gemini_v1beta_handler.go
- 添加 `extractGeminiCLISessionHash` 函数提取 Gemini CLI 会话标识
- 添加 `isGeminiCLIRequest` 函数识别 Gemini CLI 请求
- 实现账号切换检测与 thoughtSignature 清理逻辑
- 添加 `geminiCLITmpDirRegex` 正则表达式

### backend/internal/service/gateway_service.go
- 添加 `GetCachedSessionAccountID` 方法查询粘性会话绑定的账号 ID

### backend/internal/service/gemini_native_signature_cleaner.go (新增)
- 实现 `CleanGeminiNativeThoughtSignatures` 函数
- 递归清理 JSON 中的所有 thoughtSignature 字段
- 支持任意 JSON 顶层类型（object/array）

### backend/internal/handler/gemini_cli_session_test.go (新增)
- 测试 Gemini CLI 会话哈希提取逻辑
- 测试 tmp 目录正则匹配
- 覆盖有/无 privileged-user-id 的场景

## 影响范围

- 修复 Gemini CLI 多轮对话时账号切换导致的 400 错误
- 提高粘性会话的稳定性和容错能力
- 不影响其他客户端（Claude Code 等）的会话标识生成

## 测试

- 单元测试：go test -tags=unit ./internal/handler -run TestExtractGeminiCLISessionHash
- 单元测试：go test -tags=unit ./internal/handler -run TestGeminiCLITmpDirRegex
- 编译验证：go build ./cmd/server

根本原因：
- BuildAccountCredentials 只在 project_id 非空时才添加该字段
- LoadCodeAssist 失败时返回空字符串 → 新 credentials 不包含 project_id 键
- 普通合并逻辑只保留新 credentials 中不存在的键，无法覆盖空值

解决方案：
1. 在合并后特殊处理 project_id：如果新值为空但旧值非空，保留旧值
2. LoadCodeAssist 失败不再返回错误，只记录警告
3. Token 刷新成功（access_token 已更新）就不应标记账户为 error

改进效果：
- 即使 LoadCodeAssist 连续失败，已有的 project_id 也不会丢失
- 避免因临时网络问题将账户误标记为不可用
- 允许在下次刷新时自动重试获取 project_id
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

- 新增 SubscriptionExpiryService 定时任务，每分钟更新过期订阅状态
- 订阅列表支持服务端排序（按过期时间、状态、创建时间）
- 实时显示正确的过期状态，无需等待定时任务
- 允许对已过期订阅进行续期操作
- DataTable 组件支持 serverSideSort 模式

扩展现有的预热请求拦截功能，新增对 SUGGESTION MODE 请求的拦截：
- 检测 messages 最后一条 user 消息是否以 [SUGGESTION MODE: 开头
- 拦截后返回空内容响应，节省 token 消耗
- 重构检测逻辑，合并为单一函数，只解析一次 JSON

- 新增 _token_version 版本号机制，防止过期 token 污染缓存
- TokenRefreshService 刷新成功后写入版本号并清除缓存
- TokenProvider 写入缓存前检查版本，过时则跳过
- ClearError 时同步清除 token 缓存

- Add promo_code_enabled field to SystemSettings and PublicSettings DTOs
- Add promo code validation in registration flow
- Add admin settings UI for promo code configuration
- Add i18n translations for promo code feature

The field was defined in DTO but not mapped in handler response.

- 将"延长订阅"功能改为"调整订阅"，支持正数延长、负数缩短
- 后端验证：调整天数范围 -36500 到 36500，缩短后剩余天数必须 > 0
- 前端同步更新界面文案和验证逻辑
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- 修复 mappers.go 中 Notes 字段的对齐格式
- 修复 types.go 中 BulkAssignResult 结构体字段的 JSON tag 对齐

修复 golangci-lint 检查中的 gofmt 格式错误

- 用户侧 RedeemCode DTO 移除 notes 字段，避免泄露内部备注\n- 新增 AdminRedeemCode，并调整管理员兑换码接口继续返回 notes\n- 增加 /api/v1/redeem/history 契约测试，确保用户侧响应不包含 notes

- 更新api_contract_test.go以匹配NewAccountHandler新增的tokenCacheInvalidator参数
- 修复errcheck lint错误，显式忽略c.Error()返回值
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

为共享 req 客户端增加 HTTP/2 选项与缓存隔离
OpenAI OAuth 超时提升到 120s，并按协议控制强制
新增客户端池与 OAuth 客户端单测覆盖
修复 usage cleanup 相关 errcheck/ineffassign/staticcheck 并统一格式

测试: make test

手动刷新令牌后，新token保存到数据库但Redis缓存未清除，
导致下游请求仍然使用旧的失效token，上游API返回403错误。

修复方案：在AccountHandler中注入TokenCacheInvalidator，
刷新令牌成功后调用InvalidateToken清除缓存。
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- 用户侧 UserSubscription DTO 移除 assigned_by/assigned_at/notes/assigned_by_user 等管理员字段\n- 新增 AdminUserSubscription，并调整管理员订阅接口与批量分配结果使用\n- 增加 /api/v1/subscriptions 契约测试，确保用户侧响应不包含上述字段

在管理后台设置页面新增开关，允许管理员隐藏API Keys页面的"导入CCS"按钮

- 用户侧 dto.User 移除 notes 字段，避免泄露管理员备注\n- 新增 dto.AdminUser 并调整 /admin/users 系列接口使用\n- 前端拆分 User/AdminUser，管理端用户页面使用 AdminUser\n- 更新契约测试：/api/v1/auth/me 响应不包含 notes

- 普通用户 Group DTO 移除 model_routing/account_count/account_groups，避免泄露内部路由与账号信息\n- 新增 AdminGroup DTO，并仅在管理员分组接口返回完整字段\n- 前端拆分 Group/AdminGroup，管理端页面与 API 使用 AdminGroup\n- 增加 /api/v1/groups/available 契约测试，防止回归

- 将 usage log DTO 拆分为用户/管理员两类
- 用户接口不返回 account_rate_multiplier/ip_address/account
- 管理员接口保留管理员字段
- 补充契约测试防止回归

- 新增 session_id_masking_enabled 配置，启用后将在15分钟内固定
  metadata.user_id 中的 session ID
- TLS fingerprint 模块日志从自定义 debugLog 迁移到 slog
- main.go 添加 slog 初始化，根据 gin mode 设置日志级别
- 前端创建/编辑账号模态框添加会话ID伪装开关
- 多语言支持（中英文）

- 新增 GetCurrentWindowStartTime() 方法，当窗口过期时自动使用新的预测窗口开始时间
- UpdateSessionWindow 更新窗口时间后触发 outbox 事件同步调度器缓存
- 统一所有窗口费用查询入口使用新方法