MAX API v1.0.2 界面重构、后台优化、安全加固

MAX API Release Notes

2026-06-21 ~ 2026-06-22

概览

本次更新以界面重构、后台设置优化、鉴权安全加固和文档补全为主。

主要更新

前端体验重构

• 优化首页排版、文案层级、毛玻璃面板、动态扫描线、网格背景和响应式布局。
• 重新设计登录页 UI，将首页球形视觉复用到登录场景，并支持使用后台配置的系统徽标。
• 优化导航栏展示，并新增 MAX API GitHub 入口。

后台治理能力

• 新增“排行榜”独立开关，可在后台单独控制排行榜页面是否启用、是否要求登录访问。
• 将RankingsModule从旧的HeaderNavModules中拆分为独立配置项，同时保留旧配置回退逻辑。
• 收敛前端导航模块解析逻辑，减少 HeaderNav 配置解析的重复实现。
• 优化系统设置表单的保存、重置和配置合并逻辑，降低 stale write 风险。

日志与审计

• 状态接口新增日志审计开关信息，前端可展示当前日志审计是否开启。
• 使用日志页面新增“日志审计已开启 / 已关闭”状态标识。
• 当后台开启请求或响应内容审计时，普通用户可在其有权限访问的日志详情中看到对应审计内容。
• 用户侧日志会剥离管理员专用字段，仅暴露允许用户可见的audit_info。
• 新增后端测试覆盖用户侧日志审计内容暴露和关闭场景。

安全加固

• 会话鉴权改为基于最新用户缓存刷新，避免用户被禁用或降权后旧 session 继续保留原权限。
• 新增SESSION_COOKIE_SECURE环境变量，用于控制 session cookie 是否启用 Secure。
• Gin trusted proxies 改为显式配置，默认信任本机与私网地址段，并支持TRUSTED_PROXIES覆盖。
• TokenAuthReadOnly现在拒绝禁用和过期 token，仅允许额度耗尽 token 查询自身只读用量或日志。
• SSRF 防护增强：对域名解析后的 IP 进行校验，并在受保护 HTTP Client 中绑定最终拨号地址，降低 DNS rebinding 风险。
• SSRF 保护客户端禁用环境代理，避免代理侧解析绕过本机目的地址校验。
• Midjourney / 视频代理等链路对 SSRF protected client 的使用做了补强。

工程质量与 CI

• 新增 GitHub Actions CI，覆盖后端测试、go vet、JSON wrapper policy、前端 typecheck 和 build。
• 修复 release workflow，统一 MAX API 构建产物命名为max-api-*。
• Release 构建改为从webworkspace 安装依赖，再构建web/default。
• 固定 Bun 版本为1.3.14，提高 CI / Release 构建稳定性。
• 新增tools/jsonwrapcheck，用于阻止新增业务代码直接调用encoding/json。
• 更新 JSON wrapper allowlist，清理失效条目。

文档与社区信息

• README 增加社区访问信息：
  • GitHub：https://github.com/MAX-API-Next
  • QQ：950126533
  • 微信群：搜索 MAX-API
• 修正 README 语言入口链接。
• 新增 v1.0.0 release notes 文档。
• 更新 Issue / PR 模板和部分 workflow 文案，统一 MAX API 项目信息。

兼容性说明

• RankingsModule已成为排行榜显示控制的新配置源；旧的HeaderNavModules.rankings仍作为兼容回退。
• TRUSTED_PROXIES未配置时，默认信任本机与私网地址段；公网直连部署可按需收紧。
• SESSION_COOKIE_SECURE默认仍为false，HTTPS 部署建议显式设置为true。
• 日志审计内容属于敏感信息，开启后用户可在其有权限访问的日志详情中看到相应请求/响应内容。

验证

• go test ./common ./service
• 相关前后端设置项与翻译已同步更新

Full Changelog: https://github.com/MAX-API-Next/MAX-API/compare/v1.0.1…v1.0.2