GitLab

新增 BindAccountsToGroup 和 GetAccountIDsByGroupIDs 方法的 stub 实现，
确保测试文件中的 mock 类型满足 GroupRepository 接口要求。

- 创建分组时可选择从已有分组复制账号
- 编辑分组时支持同步账号（全量替换操作）
- 仅允许选择相同平台的源分组
- 添加完整的数据校验：去重、自引用检查、平台一致性检查
- 前端支持多选源分组，带提示说明操作行为

新增 IgnoreInvalidApiKeyErrors 开关，启用后 INVALID_API_KEY 和
API_KEY_REQUIRED 错误将被完全跳过，不写入 Ops 错误日志。
这些错误由用户错误配置导致，与服务质量无关。

Token 刷新成功后，调度器缓存中的 Account 对象仍包含旧的 credentials，
导致在 Outbox 异步更新之前（最多 1 秒窗口）请求使用过期 token，
返回 403 错误（OAuth token has been revoked）。

修复方案：在 token 刷新成功后同步更新调度器缓存，确保调度获取的
Account 对象立即包含最新的 access_token 和 _token_version。

此修复覆盖所有 OAuth 平台：OpenAI、Claude、Gemini、Antigravity。

将账户停用 (USER_INACTIVE) 导致的请求失败视为业务限制类错误，不计入 SLA 和错误率统计。

账户停用是预期内的业务结果，不应被视为系统错误或服务质量问题。此改动使错误分类更加准确，避免将预期的业务限制误报为系统故障。

修改内容：
- 在 classifyOpsIsBusinessLimited 函数中添加 USER_INACTIVE 错误码
- 该类错误不再触发错误率告警

Fixes Wei-Shaw/sub2api#453

为 CC Switch 集成增强 /v1/usage 网关端点，在保持原有 4 字段
(isValid, planName, remaining, unit) 向后兼容的基础上，新增：

- usage 对象：今日/累计的请求数、token 用量、费用，以及 RPM/TPM
- subscription 对象（订阅模式）：日/周/月用量和限额、过期时间
- balance 字段（余额模式）：当前钱包余额

用量数据获取采用 best-effort 策略，失败不影响基础响应。
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- 为RedeemCode DTO添加notes字段（仅用于admin_balance/admin_concurrency类型）
- 更新mapper使其有条件地包含备注信息
- 在用户兑换历史UI中显示备注
- 备注以斜体显示，悬停时显示完整内容

用户现在可以看到管理员调整其余额的原因说明。

Changes:
- backend/internal/handler/dto/types.go: RedeemCode添加notes字段
- backend/internal/handler/dto/mappers.go: 条件性填充notes
- frontend/src/api/redeem.ts: TypeScript接口添加notes
- frontend/src/views/user/RedeemView.vue: UI显示备注信息

- 在用户仓库的搜索过滤器中添加备注字段
- 管理员现在可以通过备注/标记搜索用户
- 使用不区分大小写的搜索(ContainsFold)

Changes:
- backend/internal/repository/user_repo.go: 添加 NotesContainsFold 到搜索条件

extractGeminiUsage 函数未提取 cachedContentTokenCount，
导致计费时缓存读取 token 始终为 0。

修复：
- 提取 usageMetadata.cachedContentTokenCount
- 设置 CacheReadInputTokens 字段
- InputTokens 减去缓存 token（与 response_transformer 逻辑一致）

Gemini API Key 账户通常代理上游服务，模型支持由上游判断，
本地不需要预先配置模型映射。

Implements announcements end-to-end (admin CRUD + read status, user list + mark read) with OR-of-AND targeting. Also breaks the ent<->service import cycle by moving schema-facing constants/targeting into a new domain package.

当新分组创建后立即绑定账号时，调度器会错误地将空快照视为有效缓存命中，
导致返回没有可调度的账号。现在空快照会触发数据库回退查询。

- 新增 /purchase 页面（iframe + 新窗口兜底）

- 管理员系统设置可配置开关与URL

- 非 simple mode 才在侧边栏展示入口

Prevents panic when ErrorFrom is called in test contexts where
gin.CreateTestContext doesn't set up an HTTP request.
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- Update VERSION from 0.1.46 to 0.1.61
- Remove ForceHTTP2 tests for OpenAI OAuth client (ForceHTTP2 was removed)
- Update createOpenAIReqClient test to use new single-arg signature
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

- 使用 ApplicationError 返回详细错误信息到前端
- 添加 User-Agent: codex-cli/0.91.0
- 移除 ForceHTTP2 以兼容 HTTP 代理
- 修复代理获取失败时静默忽略的问题
- 500 错误时记录完整错误日志
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

message_delta 应完全覆盖 message_start 的 usage 数据，
而非仅在值为 0 时才更新。

对齐 Antigravity 平台的图片计费逻辑：
- 添加 extractImageSize() 方法提取图片尺寸
- Forward() 和 ForwardNative() 返回 ImageCount/ImageSize
- 支持分组自定义图片价格和倍率

修复 API Key 账号 base_url 末尾带斜杠时导致的双斜杠问题

- 问题：OpenAI 的 usage_limit_reached 错误（需 37 小时重置）被错误地设置为 5 分钟
- 原因：handle429 只检查 Anthropic 响应头，没有解析 OpenAI 响应体中的 resets_in_seconds
- 修复：新增 parseOpenAIRateLimitResetTime 函数解析 OpenAI 响应体
- 影响：避免调度器不断尝试已达配额上限的账户

新增功能：
- 支持 Google Authenticator 等应用进行 TOTP 二次验证
- 用户可在个人设置中启用/禁用 2FA
- 登录时支持 TOTP 验证流程
- 管理后台可全局开关 TOTP 功能

安全增强：
- TOTP 密钥使用 AES-256-GCM 加密存储
- 添加 TOTP_ENCRYPTION_KEY 配置项，必须手动配置才能启用功能
- 防止服务重启导致加密密钥变更使用户无法登录
- 验证失败次数限制，防止暴力破解

配置说明：
- Docker 部署：在 .env 中设置 TOTP_ENCRYPTION_KEY
- 非 Docker 部署：在 config.yaml 中设置 totp.encryption_key
- 生成密钥命令：openssl rand -hex 32

## 问题背景

1. Gemini CLI 没有明确的会话标识（如 Claude Code 的 metadata.user_id）
2. thoughtSignature 与具体上游账号强绑定，跨账号使用会导致 400 错误
3. 粘性会话切换账号或 cache 丢失时，旧签名会导致请求失败

## 解决方案

### 1. Gemini CLI 会话标识提取

- 从 `x-gemini-api-privileged-user-id` header 和请求体中的 tmp 目录哈希生成会话标识
- 组合策略：SHA256(privileged-user-id + ":" + tmp_dir_hash)
- 正则提取：`/\.gemini/tmp/([A-Fa-f0-9]{64})`

### 2. 跨账号 thoughtSignature 清理

实现三种场景的智能清理：

1. **Cache 命中 + 账号切换**
   - 粘性会话绑定的账号与当前选择的账号不同时清理

2. **同一请求内 failover 切换**
   - 通过 sessionBoundAccountID 跟踪，检测重试时的账号切换

3. **Gemini CLI + Cache 未命中 + 含签名**
   - 预防性清理，避免 cache 丢失后首次转发就 400
   - 仅对 Gemini CLI 请求且请求体包含 thoughtSignature 时触发

## 修改内容

### backend/internal/handler/gemini_v1beta_handler.go
- 添加 `extractGeminiCLISessionHash` 函数提取 Gemini CLI 会话标识
- 添加 `isGeminiCLIRequest` 函数识别 Gemini CLI 请求
- 实现账号切换检测与 thoughtSignature 清理逻辑
- 添加 `geminiCLITmpDirRegex` 正则表达式

### backend/internal/service/gateway_service.go
- 添加 `GetCachedSessionAccountID` 方法查询粘性会话绑定的账号 ID

### backend/internal/service/gemini_native_signature_cleaner.go (新增)
- 实现 `CleanGeminiNativeThoughtSignatures` 函数
- 递归清理 JSON 中的所有 thoughtSignature 字段
- 支持任意 JSON 顶层类型（object/array）

### backend/internal/handler/gemini_cli_session_test.go (新增)
- 测试 Gemini CLI 会话哈希提取逻辑
- 测试 tmp 目录正则匹配
- 覆盖有/无 privileged-user-id 的场景

## 影响范围

- 修复 Gemini CLI 多轮对话时账号切换导致的 400 错误
- 提高粘性会话的稳定性和容错能力
- 不影响其他客户端（Claude Code 等）的会话标识生成

## 测试

- 单元测试：go test -tags=unit ./internal/handler -run TestExtractGeminiCLISessionHash
- 单元测试：go test -tags=unit ./internal/handler -run TestGeminiCLITmpDirRegex
- 编译验证：go build ./cmd/server

## 问题描述

在使用 Gemini 模型（gemini-3-flash-preview）时，出现 400 错误：
"Unable to submit request because Thought signature is not valid"

## 根本原因

在 `request_transformer.go` 的 `buildParts()` 函数中：
- 对于 `tool_use` 和 `thinking` 块，当 `allowDummyThought=true`（Gemini 模型）时
- 代码会无条件将客户端传入的真实 `thoughtSignature` 覆盖成 dummy 值
- 导致 Gemini API 验证签名失败（签名与上下文不匹配）

## 修复方案

修改 signature 处理逻辑：
1. **优先透传真实 signature**：如果客户端提供了有效的 signature，保留它
2. **缺失时才使用 dummy**：只有在 signature 缺失且是 Gemini 模型时，才使用 dummy signature
3. **Claude 模型特殊处理**：将 dummy signature 视为缺失，避免透传到需要真实签名的链路

## 修改内容

### request_transformer.go
- `thinking` 块（第 367-386 行）：优先透传真实 signature
- `tool_use` 块（第 411-418 行）：优先透传真实 signature

### request_transformer_test.go
- 修改测试用例名称，反映新的行为
- 新增测试用例验证"缺失时才使用 dummy"的逻辑

## 影响范围

- 修复 Gemini 模型在多轮对话中使用 tool_use 时的签名验证错误
- 不影响 Claude 模型的现有行为
- 提高跨账号切换时的稳定性

相关问题：#[issue_number]

- 已过期订阅延长时,从当前时间开始增加天数
- 已过期订阅不允许负向调整(缩短)
- 未过期订阅保持原逻辑,从原过期时间增减
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

- 解析 x-codex-* 响应头获取正确的重置时间
- 7d 限制用尽时使用 codex_7d_reset_after_seconds
- 提取 Normalize() 方法统一窗口规范化逻辑

问题：
- 初始授权时 LoadCodeAssist 没有重试机制，失败后直接跳过
- 导致账号创建时就可能缺失 project_id
- 之后每次刷新都因为 missing_project_id 报错

修复：
- 统一使用 loadProjectIDWithRetry 方法（最多4次尝试）
- 初始授权和token刷新使用相同的重试策略
- 保留原注释说明部分账户可能没有 project_id
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

根本原因：
- BuildAccountCredentials 只在 project_id 非空时才添加该字段
- LoadCodeAssist 失败时返回空字符串 → 新 credentials 不包含 project_id 键
- 普通合并逻辑只保留新 credentials 中不存在的键，无法覆盖空值

解决方案：
1. 在合并后特殊处理 project_id：如果新值为空但旧值非空，保留旧值
2. LoadCodeAssist 失败不再返回错误，只记录警告
3. Token 刷新成功（access_token 已更新）就不应标记账户为 error

改进效果：
- 即使 LoadCodeAssist 连续失败，已有的 project_id 也不会丢失
- 避免因临时网络问题将账户误标记为不可用
- 允许在下次刷新时自动重试获取 project_id
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

- 邮件发送改为异步队列处理，避免并发导致发送失败
- 新增 Email 维度限流（30秒冷却期），防止邮件轰炸
- Token 验证使用常量时间比较，防止时序攻击
- 重构代码消除冗余，提取公共验证逻辑

1. 使用未来日期(2099年)作为测试订阅的过期时间，避免
   normalizeSubscriptionStatus 将测试数据标记为过期
2. 修复 List 方法调用参数不足的问题（新增 sortBy/sortOrder 参数）

- 新增 SubscriptionExpiryService 定时任务，每分钟更新过期订阅状态
- 订阅列表支持服务端排序（按过期时间、状态、创建时间）
- 实时显示正确的过期状态，无需等待定时任务
- 允许对已过期订阅进行续期操作
- DataTable 组件支持 serverSideSort 模式

问题描述：
在网络波动环境下，LoadCodeAssist 临时失败会被错误地标记为
"missing_project_id" 不可重试错误，导致账户被禁用。但实际上
账户配置正确，手动刷新后即可恢复。

解决方案：
1. 为 LoadCodeAssist 增加重试机制（最多4次，指数退避）
2. 区分真正的配置缺失和临时网络故障：
   - 如果之前有 project_id，本次获取失败只保留旧值，不报错
   - 只有从未获取过 project_id 且本次也失败时，才标记为缺失
3. 优化错误判断逻辑，避免误报

改进效果：
- 提高在复杂网络环境（如家宽代理）下的鲁棒性
- 减少因临时网络波动导致的服务中断
- 保持真正配置错误的检测能力
Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

Previously, collectGeminiSSE() only returned the last chunk received
from the upstream streaming response when converting to non-streaming.
This caused incomplete responses where only the final text fragment
was returned to clients.

For example, a request asking to "count from 1 to 10" would only
return "\n" (the last chunk) instead of "1\n2\n3\n...\n10\n".

This was especially problematic for JSON structured output where
the opening brace "{" from the first chunk was lost, resulting
in invalid JSON like: colors": ["red", "blue"]}

The fix:
- Collect all text parts from each SSE chunk into a slice
- Merge all collected text parts into the final response
- Reuse the same pattern as handleGeminiStreamToNonStreaming
  in antigravity_gateway_service.go

Fixes: non-streaming responses returning incomplete text
Fixes: structured output (JSON schema) returning invalid JSON

扩展现有的预热请求拦截功能，新增对 SUGGESTION MODE 请求的拦截：
- 检测 messages 最后一条 user 消息是否以 [SUGGESTION MODE: 开头
- 拦截后返回空内容响应，节省 token 消耗
- 重构检测逻辑，合并为单一函数，只解析一次 JSON