backend/internal/handler/admin/backup_handler.go

package admin

import (
	"sync"
	"time"

	infraerrors "github.com/Wei-Shaw/sub2api/internal/pkg/errors"
	"github.com/Wei-Shaw/sub2api/internal/pkg/response"
	"github.com/Wei-Shaw/sub2api/internal/server/middleware"
	"github.com/Wei-Shaw/sub2api/internal/service"
	"github.com/gin-gonic/gin"
)

const (
	restorePasswordMaxFailures = 5
	restorePasswordBlockWindow = 15 * time.Minute
)

var backupRestoreAttemptLimiter = newRestoreAttemptLimiter(restorePasswordMaxFailures, restorePasswordBlockWindow)

type BackupHandler struct {
	backupService *service.BackupService
	userService   *service.UserService
}

func NewBackupHandler(backupService *service.BackupService, userService *service.UserService) *BackupHandler {
	return &BackupHandler{
		backupService: backupService,
		userService:   userService,
	}
}

// ─── S3 配置 ───

func (h *BackupHandler) GetS3Config(c *gin.Context) {
	cfg, err := h.backupService.GetS3Config(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, cfg)
}

func (h *BackupHandler) UpdateS3Config(c *gin.Context) {
	var req service.BackupS3Config
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}
	cfg, err := h.backupService.UpdateS3Config(c.Request.Context(), req)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, cfg)
}

func (h *BackupHandler) TestS3Connection(c *gin.Context) {
	var req service.BackupS3Config
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}
	err := h.backupService.TestS3Connection(c.Request.Context(), req)
	if err != nil {
		response.Success(c, gin.H{"ok": false, "message": err.Error()})
		return
	}
	response.Success(c, gin.H{"ok": true, "message": "connection successful"})
}

// ─── 定时备份 ───

func (h *BackupHandler) GetSchedule(c *gin.Context) {
	cfg, err := h.backupService.GetSchedule(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, cfg)
}

func (h *BackupHandler) UpdateSchedule(c *gin.Context) {
	var req service.BackupScheduleConfig
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "Invalid request: "+err.Error())
		return
	}
	cfg, err := h.backupService.UpdateSchedule(c.Request.Context(), req)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, cfg)
}

// ─── 备份操作 ───

type CreateBackupRequest struct {
	ExpireDays *int `json:"expire_days"` // nil=使用默认值14，0=永不过期
}

func (h *BackupHandler) CreateBackup(c *gin.Context) {
	var req CreateBackupRequest
	_ = c.ShouldBindJSON(&req) // 允许空 body

	expireDays := 14 // 默认14天过期
	if req.ExpireDays != nil {
		expireDays = *req.ExpireDays
	}

	record, err := h.backupService.StartBackup(c.Request.Context(), "manual", expireDays)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Accepted(c, record)
}

func (h *BackupHandler) ListBackups(c *gin.Context) {
	records, err := h.backupService.ListBackups(c.Request.Context())
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	if records == nil {
		records = []service.BackupRecord{}
	}
	response.Success(c, gin.H{"items": records})
}

func (h *BackupHandler) GetBackup(c *gin.Context) {
	backupID := c.Param("id")
	if backupID == "" {
		response.BadRequest(c, "backup ID is required")
		return
	}
	record, err := h.backupService.GetBackupRecord(c.Request.Context(), backupID)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, record)
}

func (h *BackupHandler) DeleteBackup(c *gin.Context) {
	backupID := c.Param("id")
	if backupID == "" {
		response.BadRequest(c, "backup ID is required")
		return
	}
	if err := h.backupService.DeleteBackup(c.Request.Context(), backupID); err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, gin.H{"deleted": true})
}

func (h *BackupHandler) GetDownloadURL(c *gin.Context) {
	backupID := c.Param("id")
	if backupID == "" {
		response.BadRequest(c, "backup ID is required")
		return
	}
	url, err := h.backupService.GetBackupDownloadURL(c.Request.Context(), backupID)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Success(c, gin.H{"url": url})
}

// ─── 恢复操作（需要重新输入管理员密码） ───

type RestoreBackupRequest struct {
	Password string `json:"password" binding:"required"`
}

type restoreAttemptState struct {
	failuresUntil time.Time
	failureCount  int
}

type restoreAttemptLimiter struct {
	mu          sync.Mutex
	maxFailures int
	window      time.Duration
	states      map[int64]restoreAttemptState
}

func newRestoreAttemptLimiter(maxFailures int, window time.Duration) *restoreAttemptLimiter {
	return &restoreAttemptLimiter{
		maxFailures: maxFailures,
		window:      window,
		states:      make(map[int64]restoreAttemptState),
	}
}

func (l *restoreAttemptLimiter) allow(userID int64, now time.Time) (bool, time.Duration) {
	l.mu.Lock()
	defer l.mu.Unlock()

	state, ok := l.states[userID]
	if !ok {
		return true, 0
	}
	if now.After(state.failuresUntil) {
		delete(l.states, userID)
		return true, 0
	}
	if state.failureCount < l.maxFailures {
		return true, 0
	}
	return false, state.failuresUntil.Sub(now)
}

func (l *restoreAttemptLimiter) recordFailure(userID int64, now time.Time) {
	l.mu.Lock()
	defer l.mu.Unlock()

	state := l.states[userID]
	if now.After(state.failuresUntil) {
		state = restoreAttemptState{}
	}
	state.failureCount++
	state.failuresUntil = now.Add(l.window)
	l.states[userID] = state
}

func (l *restoreAttemptLimiter) recordSuccess(userID int64) {
	l.mu.Lock()
	defer l.mu.Unlock()

	delete(l.states, userID)
}

func (h *BackupHandler) RestoreBackup(c *gin.Context) {
	backupID := c.Param("id")
	if backupID == "" {
		response.BadRequest(c, "backup ID is required")
		return
	}

	var req RestoreBackupRequest
	if err := c.ShouldBindJSON(&req); err != nil {
		response.BadRequest(c, "password is required for restore operation")
		return
	}

	// 从上下文获取当前管理员用户 ID
	sub, ok := middleware.GetAuthSubjectFromContext(c)
	if !ok {
		response.Unauthorized(c, "unauthorized")
		return
	}

	if allowed, _ := backupRestoreAttemptLimiter.allow(sub.UserID, time.Now()); !allowed {
		response.ErrorFrom(c, infraerrors.TooManyRequests("RESTORE_PASSWORD_RATE_LIMITED", "too many failed password attempts, please try again later"))
		return
	}

	// 获取管理员用户并验证密码
	user, err := h.userService.GetByID(c.Request.Context(), sub.UserID)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	if !user.CheckPassword(req.Password) {
		backupRestoreAttemptLimiter.recordFailure(sub.UserID, time.Now())
		response.BadRequest(c, "incorrect admin password")
		return
	}
	backupRestoreAttemptLimiter.recordSuccess(sub.UserID)

	record, err := h.backupService.StartRestore(c.Request.Context(), backupID)
	if err != nil {
		response.ErrorFrom(c, err)
		return
	}
	response.Accepted(c, record)
}
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								package admin
 								import (
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+									"sync"
 									"time"
 									infraerrors "github.com/Wei-Shaw/sub2api/internal/pkg/errors"
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/pkg/response"
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/server/middleware"
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+									"github.com/Wei-Shaw/sub2api/internal/service"
 									"github.com/gin-gonic/gin"
 								)
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+								const (
 									restorePasswordMaxFailures = 5
 									restorePasswordBlockWindow = 15 * time.Minute
 								)
 								var backupRestoreAttemptLimiter = newRestoreAttemptLimiter(restorePasswordMaxFailures, restorePasswordBlockWindow)
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								type BackupHandler struct {
 									backupService *service.BackupService
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+									userService   *service.UserService
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								}
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+								func NewBackupHandler(backupService *service.BackupService, userService *service.UserService) *BackupHandler {
 									return &BackupHandler{
 										backupService: backupService,
 										userService:   userService,
 									}
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								}
 								// ─── S3 配置 ───
 								func (h *BackupHandler) GetS3Config(c *gin.Context) {
 									cfg, err := h.backupService.GetS3Config(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, cfg)
 								}
 								func (h *BackupHandler) UpdateS3Config(c *gin.Context) {
 									var req service.BackupS3Config
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
 									cfg, err := h.backupService.UpdateS3Config(c.Request.Context(), req)
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, cfg)
 								}
 								func (h *BackupHandler) TestS3Connection(c *gin.Context) {
 									var req service.BackupS3Config
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
 									err := h.backupService.TestS3Connection(c.Request.Context(), req)
 									if err != nil {
 										response.Success(c, gin.H{"ok": false, "message": err.Error()})
 										return
 									}
 									response.Success(c, gin.H{"ok": true, "message": "connection successful"})
 								}
 								// ─── 定时备份 ───
 								func (h *BackupHandler) GetSchedule(c *gin.Context) {
 									cfg, err := h.backupService.GetSchedule(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, cfg)
 								}
 								func (h *BackupHandler) UpdateSchedule(c *gin.Context) {
 									var req service.BackupScheduleConfig
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "Invalid request: "+err.Error())
 										return
 									}
 									cfg, err := h.backupService.UpdateSchedule(c.Request.Context(), req)
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, cfg)
 								}
 								// ─── 备份操作 ───
 								type CreateBackupRequest struct {
 									ExpireDays *int `json:"expire_days"` // nil=使用默认值14，0=永不过期
 								}
 								func (h *BackupHandler) CreateBackup(c *gin.Context) {
 									var req CreateBackupRequest
 									_ = c.ShouldBindJSON(&req) // 允许空 body
 									expireDays := 14 // 默认14天过期
 									if req.ExpireDays != nil {
 										expireDays = *req.ExpireDays
 									}
-												feat(backup): 备份/恢复异步化，解决 504 超时

POST /backups 和 POST /backups/:id/restore 改为异步：立即返回 HTTP 202，
后台 goroutine 独立执行 pg_dump → gzip → S3 上传，前端每 2s 轮询状态。

后端:
- 新增 StartBackup/StartRestore 方法，后台 goroutine 不依赖 HTTP 连接
- Graceful shutdown 等待活跃操作完成，启动时清理孤立 running 记录
- BackupRecord 新增 progress/restore_status 字段支持进度和恢复状态追踪

前端:
- 创建备份/恢复后轮询 GET /backups/:id 直到完成或失败
- 标签页切换暂停/恢复轮询，组件卸载清理定时器
- 正确处理 409（备份进行中）和轮询超时

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

											
										
										
											2026-03-16 20:03:08 +08:00
+									record, err := h.backupService.StartBackup(c.Request.Context(), "manual", expireDays)
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
-												feat(backup): 备份/恢复异步化，解决 504 超时

POST /backups 和 POST /backups/:id/restore 改为异步：立即返回 HTTP 202，
后台 goroutine 独立执行 pg_dump → gzip → S3 上传，前端每 2s 轮询状态。

后端:
- 新增 StartBackup/StartRestore 方法，后台 goroutine 不依赖 HTTP 连接
- Graceful shutdown 等待活跃操作完成，启动时清理孤立 running 记录
- BackupRecord 新增 progress/restore_status 字段支持进度和恢复状态追踪

前端:
- 创建备份/恢复后轮询 GET /backups/:id 直到完成或失败
- 标签页切换暂停/恢复轮询，组件卸载清理定时器
- 正确处理 409（备份进行中）和轮询超时

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

											
										
										
											2026-03-16 20:03:08 +08:00
+									response.Accepted(c, record)
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								}
 								func (h *BackupHandler) ListBackups(c *gin.Context) {
 									records, err := h.backupService.ListBackups(c.Request.Context())
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									if records == nil {
 										records = []service.BackupRecord{}
 									}
 									response.Success(c, gin.H{"items": records})
 								}
 								func (h *BackupHandler) GetBackup(c *gin.Context) {
 									backupID := c.Param("id")
 									if backupID == "" {
 										response.BadRequest(c, "backup ID is required")
 										return
 									}
 									record, err := h.backupService.GetBackupRecord(c.Request.Context(), backupID)
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, record)
 								}
 								func (h *BackupHandler) DeleteBackup(c *gin.Context) {
 									backupID := c.Param("id")
 									if backupID == "" {
 										response.BadRequest(c, "backup ID is required")
 										return
 									}
 									if err := h.backupService.DeleteBackup(c.Request.Context(), backupID); err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, gin.H{"deleted": true})
 								}
 								func (h *BackupHandler) GetDownloadURL(c *gin.Context) {
 									backupID := c.Param("id")
 									if backupID == "" {
 										response.BadRequest(c, "backup ID is required")
 										return
 									}
 									url, err := h.backupService.GetBackupDownloadURL(c.Request.Context(), backupID)
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									response.Success(c, gin.H{"url": url})
 								}
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+								// ─── 恢复操作（需要重新输入管理员密码） ───
 								type RestoreBackupRequest struct {
 									Password string `json:"password" binding:"required"`
 								}
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+								type restoreAttemptState struct {
 									failuresUntil time.Time
 									failureCount  int
 								}
 								type restoreAttemptLimiter struct {
 									mu          sync.Mutex
 									maxFailures int
 									window      time.Duration
 									states      map[int64]restoreAttemptState
 								}
 								func newRestoreAttemptLimiter(maxFailures int, window time.Duration) *restoreAttemptLimiter {
 									return &restoreAttemptLimiter{
 										maxFailures: maxFailures,
 										window:      window,
 										states:      make(map[int64]restoreAttemptState),
 									}
 								}
 								func (l *restoreAttemptLimiter) allow(userID int64, now time.Time) (bool, time.Duration) {
 									l.mu.Lock()
 									defer l.mu.Unlock()
 									state, ok := l.states[userID]
 									if !ok {
 										return true, 0
 									}
 									if now.After(state.failuresUntil) {
 										delete(l.states, userID)
 										return true, 0
 									}
 									if state.failureCount < l.maxFailures {
 										return true, 0
 									}
 									return false, state.failuresUntil.Sub(now)
 								}
 								func (l *restoreAttemptLimiter) recordFailure(userID int64, now time.Time) {
 									l.mu.Lock()
 									defer l.mu.Unlock()
 									state := l.states[userID]
 									if now.After(state.failuresUntil) {
 										state = restoreAttemptState{}
 									}
 									state.failureCount++
 									state.failuresUntil = now.Add(l.window)
 									l.states[userID] = state
 								}
 								func (l *restoreAttemptLimiter) recordSuccess(userID int64) {
 									l.mu.Lock()
 									defer l.mu.Unlock()
 									delete(l.states, userID)
 								}
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								func (h *BackupHandler) RestoreBackup(c *gin.Context) {
 									backupID := c.Param("id")
 									if backupID == "" {
 										response.BadRequest(c, "backup ID is required")
 										return
 									}
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
 									var req RestoreBackupRequest
 									if err := c.ShouldBindJSON(&req); err != nil {
 										response.BadRequest(c, "password is required for restore operation")
 										return
 									}
 									// 从上下文获取当前管理员用户 ID
 									sub, ok := middleware.GetAuthSubjectFromContext(c)
 									if !ok {
 										response.Unauthorized(c, "unauthorized")
 										return
 									}
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+									if allowed, _ := backupRestoreAttemptLimiter.allow(sub.UserID, time.Now()); !allowed {
 										response.ErrorFrom(c, infraerrors.TooManyRequests("RESTORE_PASSWORD_RATE_LIMITED", "too many failed password attempts, please try again later"))
 										return
 									}
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+									// 获取管理员用户并验证密码
 									user, err := h.userService.GetByID(c.Request.Context(), sub.UserID)
 									if err != nil {
 										response.ErrorFrom(c, err)
 										return
 									}
 									if !user.CheckPassword(req.Password) {
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+										backupRestoreAttemptLimiter.recordFailure(sub.UserID, time.Now())
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
+										response.BadRequest(c, "incorrect admin password")
 										return
 									}
-												fix confirmed deployment risks

											
										
										
											2026-04-25 09:24:17 +08:00
+									backupRestoreAttemptLimiter.recordSuccess(sub.UserID)
-												fix: 按 review 意见重构数据库备份服务（安全性 + 架构 + 健壮性）

1. S3 凭证加密存储：使用 SecretEncryptor (AES-256-GCM) 加密 SecretAccessKey，
   防止备份文件中泄露 S3 凭证，兼容旧的未加密数据
2. 修复 saveRecord 竞态条件：添加 recordsMu 互斥锁保护 records 的 load/save
3. 恢复操作增加服务端验证：handler 层要求重新输入管理员密码，通过 bcrypt
   校验，前端弹出密码输入框
4. pg_dump/psql/S3 操作抽象为接口：定义 DBDumper 和 BackupObjectStore 接口，
   实现放入 repository 层，遵循项目依赖注入架构规范
5. 改为流式处理避免大数据库 OOM：备份时 pg_dump stdout -> gzip -> io.Pipe ->
   S3 upload；恢复时 S3 download -> gzip reader -> psql stdin，不再全量加载
6. loadRecords 区分"无数据"和"数据损坏"场景：JSON 解析失败返回明确错误
7. 添加 18 个核心逻辑单元测试：覆盖加密、并发、流式备份/恢复、错误处理等

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-14 17:48:21 +08:00
-												feat(backup): 备份/恢复异步化，解决 504 超时

POST /backups 和 POST /backups/:id/restore 改为异步：立即返回 HTTP 202，
后台 goroutine 独立执行 pg_dump → gzip → S3 上传，前端每 2s 轮询状态。

后端:
- 新增 StartBackup/StartRestore 方法，后台 goroutine 不依赖 HTTP 连接
- Graceful shutdown 等待活跃操作完成，启动时清理孤立 running 记录
- BackupRecord 新增 progress/restore_status 字段支持进度和恢复状态追踪

前端:
- 创建备份/恢复后轮询 GET /backups/:id 直到完成或失败
- 标签页切换暂停/恢复轮询，组件卸载清理定时器
- 正确处理 409（备份进行中）和轮询超时

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

											
										
										
											2026-03-16 20:03:08 +08:00
+									record, err := h.backupService.StartRestore(c.Request.Context(), backupID)
 									if err != nil {
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+										response.ErrorFrom(c, err)
 										return
 									}
-												feat(backup): 备份/恢复异步化，解决 504 超时

POST /backups 和 POST /backups/:id/restore 改为异步：立即返回 HTTP 202，
后台 goroutine 独立执行 pg_dump → gzip → S3 上传，前端每 2s 轮询状态。

后端:
- 新增 StartBackup/StartRestore 方法，后台 goroutine 不依赖 HTTP 连接
- Graceful shutdown 等待活跃操作完成，启动时清理孤立 running 记录
- BackupRecord 新增 progress/restore_status 字段支持进度和恢复状态追踪

前端:
- 创建备份/恢复后轮询 GET /backups/:id 直到完成或失败
- 标签页切换暂停/恢复轮询，组件卸载清理定时器
- 正确处理 409（备份进行中）和轮询超时

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

											
										
										
											2026-03-16 20:03:08 +08:00
+									response.Accepted(c, record)
-												feat: 数据库定时备份与恢复（S3 兼容存储，支持 Cloudflare R2）

新增管理员专属的数据库备份与恢复功能：
- 全量 PostgreSQL 备份（pg_dump），gzip 压缩后上传到 S3 兼容存储
- 支持手动备份和 cron 定时备份
- 支持从备份恢复（psql --single-transaction）
- 备份文件自动过期清理（默认 14 天）
- 前端完整管理页面（S3 配置、定时配置、备份列表、恢复/下载/删除）
- 内置 Cloudflare R2 配置教程弹窗
- Dockerfile 从 postgres 镜像多阶段复制 pg_dump/psql，确保版本一致

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-13 10:38:19 +08:00
+								}