feat: add auth me endpoint

2026-04-21 14:57:17 +08:00
parent c23088539e
commit 70dbefda2b
10 changed files with 360 additions and 2 deletions
--- a/backend-rewrite-tasklist/01_M0_M2_FOUNDATION_AND_AUTH.md
+++ b/backend-rewrite-tasklist/01_M0_M2_FOUNDATION_AND_AUTH.md
@@ -170,7 +170,8 @@
 - [ ] 实现 refresh token 轮换
 - [ ] 实现会话吊销
 - [ ] 实现全端登出
- [ ] 实现 `me` 查询
+- [x] 实现 `me` 查询
+  交付物：[../docs/technical/AUTH_ME_QUERY_DESIGN_2026-04-21.md](../docs/technical/AUTH_ME_QUERY_DESIGN_2026-04-21.md)、[../server-rs/crates/module-auth/src/lib.rs](../server-rs/crates/module-auth/src/lib.rs)、[../server-rs/crates/api-server/src/auth_me.rs](../server-rs/crates/api-server/src/auth_me.rs)、[../server-rs/crates/api-server/src/app.rs](../server-rs/crates/api-server/src/app.rs)

 ### 手机验证码登录

@@ -214,7 +215,8 @@
 - [ ] 兼容 `/api/auth/login-options`
 - [x] 兼容 `/api/auth/entry`
  交付物：[../server-rs/crates/api-server/src/password_entry.rs](../server-rs/crates/api-server/src/password_entry.rs)、[../server-rs/crates/api-server/src/app.rs](../server-rs/crates/api-server/src/app.rs)
- [ ] 兼容 `/api/auth/me`
+- [x] 兼容 `/api/auth/me`
+  交付物：[../server-rs/crates/api-server/src/auth_me.rs](../server-rs/crates/api-server/src/auth_me.rs)、[../server-rs/crates/api-server/src/app.rs](../server-rs/crates/api-server/src/app.rs)
 - [ ] 兼容 `/api/auth/logout`
 - [ ] 兼容 `/api/auth/logout-all`
 - [ ] 兼容 `/api/auth/refresh`
--- a/docs/technical/AUTH_ME_QUERY_DESIGN_2026-04-21.md
+++ b/docs/technical/AUTH_ME_QUERY_DESIGN_2026-04-21.md
@@ -0,0 +1,121 @@
+# `/api/auth/me` 查询落地设计
+
+日期：`2026-04-21`
+
+## 1. 文档目的
+
+这份文档用于指导 `M2` 中 `实现 me 查询` 任务的首版落地，冻结：
+
+1. `GET /api/auth/me` 的请求与响应 contract。
+2. 当前阶段 Bearer JWT 与用户快照读取的衔接方式。
+3. `availableLoginMethods` 的返回口径。
+4. JWT 有效但本地用户不存在时的错误处理语义。
+
+## 2. 当前基线
+
+当前 Node `/api/auth/me` 具备以下最小语义：
+
+1. 必须先通过 Bearer JWT 校验。
+2. 用 `sub = user_id` 读取当前用户。
+3. 返回 `user + availableLoginMethods`。
+4. `availableLoginMethods` 只返回当前对外开启的补充登录方式，不包含 `password`。
+
+Rust 首版需要保留这条最小 contract，但当前阶段允许继续使用进程内仓储承接用户真相。
+
+## 3. 当前阶段范围
+
+本阶段只落以下内容：
+
+1. `module-auth` 增加按 `user_id` 查询当前用户能力。
+2. `api-server` 暴露 `GET /api/auth/me`。
+3. 返回与当前前端兼容的 `user + availableLoginMethods`。
+
+本阶段不包含：
+
+1. `refresh token` 轮换。
+2. 会话列表、审计、风控等扩展信息。
+3. `SpacetimeDB` 真正的身份表读取。
+
+## 4. contract
+
+### 4.1 请求
+
+1. 方法：`GET`
+2. 路径：`/api/auth/me`
+3. 鉴权：`Authorization: Bearer <token>`
+
+### 4.2 成功响应
+
+```json
+{
+  "user": {
+    "id": "user_00000001",
+    "username": "guest_001",
+    "displayName": "guest_001",
+    "phoneNumberMasked": null,
+    "loginMethod": "password",
+    "bindingStatus": "active",
+    "wechatBound": false
+  },
+  "availableLoginMethods": []
+}
+```
+
+说明：
+
+1. 当前阶段 `user` 字段固定返回当前登录用户快照，不返回 `null`。
+2. `availableLoginMethods` 只按当前对外配置返回：
+   - `SMS_AUTH_ENABLED=true` 时包含 `phone`
+   - `WECHAT_AUTH_ENABLED=true` 时包含 `wechat`
+3. `password` 不进入 `availableLoginMethods`，保持和 Node 现状一致。
+
+## 5. 错误语义
+
+### 5.1 缺少或非法 Bearer token
+
+1. 返回 `401 UNAUTHORIZED`
+
+### 5.2 JWT 有效但用户不存在
+
+1. 返回 `401 UNAUTHORIZED`
+2. 语义视为“当前登录态已失效，需要重新登录”
+
+说明：
+
+1. 当前阶段不把这种情况返回为 `404`。
+2. 这样可以与后续 `token_version`、会话吊销和用户禁用策略保持同一类恢复路径。
+
+## 6. crate 边界
+
+### 6.1 `module-auth`
+
+负责：
+
+1. 提供按 `user_id` 查询当前用户快照的能力。
+2. 继续复用密码登录阶段已经建立的同一份进程内用户真相。
+
+### 6.2 `api-server`
+
+负责：
+
+1. 复用现有 Bearer JWT 中间件拿到 `sub`。
+2. 调用 `module-auth` 查询用户。
+3. 组装 `AuthMeResponse`。
+
+## 7. 测试策略
+
+至少覆盖：
+
+1. 已登录用户可通过 `/api/auth/me` 取回当前用户。
+2. 当短信/微信开关开启时，`availableLoginMethods` 返回对应值。
+3. JWT 有效但用户不存在时返回 `401`。
+
+## 8. 后续衔接
+
+这条任务完成后，下一步顺序固定为：
+
+1. refresh token 轮换
+2. 会话吊销
+3. 手机验证码登录
+
+微信登录继续按“暂缓执行”处理。
--- a/docs/technical/README.md
+++ b/docs/technical/README.md
@@ -4,6 +4,7 @@

 ## 文档列表

+- [AUTH_ME_QUERY_DESIGN_2026-04-21.md](./AUTH_ME_QUERY_DESIGN_2026-04-21.md)：`/api/auth/me` 首版查询设计，冻结 Bearer JWT 衔接、`user + availableLoginMethods` 返回 contract，以及用户不存在时的 `401` 语义。
 - [PASSWORD_ENTRY_FLOW_DESIGN_2026-04-21.md](./PASSWORD_ENTRY_FLOW_DESIGN_2026-04-21.md)：密码登录与自动建号落地设计，冻结 `/api/auth/entry`、幂等兼容策略、模块边界以及与 JWT / refresh cookie 的衔接方式。
 - [PLATFORM_AUTH_REFRESH_COOKIE_ADAPTER_DESIGN_2026-04-21.md](./PLATFORM_AUTH_REFRESH_COOKIE_ADAPTER_DESIGN_2026-04-21.md)：`platform-auth` refresh cookie 适配设计，冻结 cookie 配置结构、读取规则与 `api-server` 最小读取链路。
 - [PLATFORM_AUTH_JWT_ADAPTER_DESIGN_2026-04-21.md](./PLATFORM_AUTH_JWT_ADAPTER_DESIGN_2026-04-21.md)：`platform-auth` 首版 JWT 适配设计，冻结 `JwtConfig`、claims 结构、`HS256` 签发/校验、`api-server` Bearer 中间件与内部验收路由边界。
--- a/server-rs/crates/api-server/README.md
+++ b/server-rs/crates/api-server/README.md
@@ -30,6 +30,7 @@
 8. 接入 `shared-logging` 完成 `tracing subscriber` 初始化
 9. 接入 `POST /api/auth/entry` 首版密码登录链路
 10. 接入 `POST /api/assets/direct-upload-tickets` 直传票据接口
+11. 接入 `GET /api/auth/me` 当前用户查询链路

 后续与本 crate 直接相关的任务包括：

@@ -40,6 +41,7 @@
 5. [x] 接入 `/healthz`
 6. [x] 接入 `/api/auth/entry`
 7. [x] 接入 `/api/assets/direct-upload-tickets`
+8. [x] 接入 `/api/auth/me`

 当前 tracing 约定：

@@ -99,3 +101,4 @@
 3. 外部副作用通过 `platform-auth`、`platform-oss`、`platform-llm` 与各模块 crate 的应用层完成。
 4. 不把领域规则直接堆在 handler 中。
 5. 当前密码登录由 `module-auth` 负责用例编排，`api-server` 只负责请求解析、JWT 签发与 refresh cookie 写回。
+6. 当前 `/api/auth/me` 复用现有 Bearer JWT 中间件与 `module-auth` 用户快照查询，不直接绕过模块边界读取内部状态。
--- a/server-rs/crates/api-server/src/app.rs
+++ b/server-rs/crates/api-server/src/app.rs
@@ -15,6 +15,7 @@ use crate::{
        attach_refresh_session_token, inspect_auth_claims, inspect_refresh_session_cookie,
        require_bearer_auth,
    },
+    auth_me::auth_me,
    error_middleware::normalize_error_response,
    health::health_check,
    password_entry::password_entry,
@@ -46,6 +47,13 @@ pub fn build_router(state: AppState) -> Router {
                attach_refresh_session_token,
            )),
        )
+        .route(
+            "/api/auth/me",
+            get(auth_me).route_layer(middleware::from_fn_with_state(
+                state.clone(),
+                require_bearer_auth,
+            )),
+        )
        .route(
            "/api/assets/direct-upload-tickets",
            post(create_direct_upload_ticket),
@@ -506,4 +514,106 @@ mod tests {

        assert_eq!(response.status(), StatusCode::BAD_REQUEST);
    }
+
+    #[tokio::test]
+    async fn auth_me_returns_current_user_and_available_login_methods() {
+        let config = AppConfig {
+            sms_auth_enabled: true,
+            wechat_auth_enabled: true,
+            ..AppConfig::default()
+        };
+        let state = AppState::new(config).expect("state should build");
+        state
+            .password_entry_service()
+            .execute(module_auth::PasswordEntryInput {
+                username: "guest_001".to_string(),
+                password: "secret123".to_string(),
+            })
+            .await
+            .expect("seed login should succeed");
+        let claims = AccessTokenClaims::from_input(
+            AccessTokenClaimsInput {
+                user_id: "user_00000001".to_string(),
+                session_id: "sess_me_query".to_string(),
+                provider: AuthProvider::Password,
+                roles: vec!["user".to_string()],
+                token_version: 1,
+                phone_verified: false,
+                binding_status: BindingStatus::Active,
+                display_name: Some("guest_001".to_string()),
+            },
+            state.auth_jwt_config(),
+            OffsetDateTime::now_utc(),
+        )
+        .expect("claims should build");
+        let token = sign_access_token(&claims, state.auth_jwt_config()).expect("token should sign");
+        let app = build_router(state);
+
+        let response = app
+            .oneshot(
+                Request::builder()
+                    .uri("/api/auth/me")
+                    .header("authorization", format!("Bearer {token}"))
+                    .body(Body::empty())
+                    .expect("request should build"),
+            )
+            .await
+            .expect("request should succeed");
+
+        assert_eq!(response.status(), StatusCode::OK);
+
+        let body = response
+            .into_body()
+            .collect()
+            .await
+            .expect("response body should collect")
+            .to_bytes();
+        let payload: Value =
+            serde_json::from_slice(&body).expect("response body should be valid json");
+
+        assert_eq!(
+            payload["user"]["id"],
+            Value::String("user_00000001".to_string())
+        );
+        assert_eq!(
+            payload["availableLoginMethods"],
+            serde_json::json!(["phone", "wechat"])
+        );
+    }
+
+    #[tokio::test]
+    async fn auth_me_returns_unauthorized_when_user_missing() {
+        let config = AppConfig::default();
+        let state = AppState::new(config).expect("state should build");
+        let claims = AccessTokenClaims::from_input(
+            AccessTokenClaimsInput {
+                user_id: "user_missing".to_string(),
+                session_id: "sess_missing".to_string(),
+                provider: AuthProvider::Password,
+                roles: vec!["user".to_string()],
+                token_version: 1,
+                phone_verified: false,
+                binding_status: BindingStatus::Active,
+                display_name: Some("ghost".to_string()),
+            },
+            state.auth_jwt_config(),
+            OffsetDateTime::now_utc(),
+        )
+        .expect("claims should build");
+        let token = sign_access_token(&claims, state.auth_jwt_config()).expect("token should sign");
+        let app = build_router(state);
+
+        let response = app
+            .oneshot(
+                Request::builder()
+                    .uri("/api/auth/me")
+                    .header("authorization", format!("Bearer {token}"))
+                    .body(Body::empty())
+                    .expect("request should build"),
+            )
+            .await
+            .expect("request should succeed");
+
+        assert_eq!(response.status(), StatusCode::UNAUTHORIZED);
+    }
 }
--- a/server-rs/crates/api-server/src/auth_me.rs
+++ b/server-rs/crates/api-server/src/auth_me.rs
@@ -0,0 +1,75 @@
+use axum::{
+    Json,
+    extract::{Extension, State},
+    http::StatusCode,
+};
+use serde::Serialize;
+
+use crate::{
+    api_response::json_success_body, auth::AuthenticatedAccessToken, http_error::AppError,
+    request_context::RequestContext, state::AppState,
+};
+
+#[derive(Debug, Serialize)]
+#[serde(rename_all = "camelCase")]
+pub struct AuthMeResponse {
+    pub user: AuthMeUserPayload,
+    pub available_login_methods: Vec<&'static str>,
+}
+
+#[derive(Debug, Serialize)]
+#[serde(rename_all = "camelCase")]
+pub struct AuthMeUserPayload {
+    pub id: String,
+    pub username: String,
+    pub display_name: String,
+    pub phone_number_masked: Option<String>,
+    pub login_method: &'static str,
+    pub binding_status: &'static str,
+    pub wechat_bound: bool,
+}
+
+pub async fn auth_me(
+    State(state): State<AppState>,
+    Extension(request_context): Extension<RequestContext>,
+    Extension(authenticated): Extension<AuthenticatedAccessToken>,
+) -> Result<Json<serde_json::Value>, AppError> {
+    let user_id = authenticated.claims().user_id().to_string();
+    let user = state
+        .password_entry_service()
+        .get_user_by_id(&user_id)
+        .map_err(|error| {
+            AppError::from_status(StatusCode::INTERNAL_SERVER_ERROR).with_message(error.to_string())
+        })?
+        .ok_or_else(|| {
+            AppError::from_status(StatusCode::UNAUTHORIZED)
+                .with_message("当前登录态已失效，请重新登录")
+        })?;
+
+    Ok(json_success_body(
+        Some(&request_context),
+        AuthMeResponse {
+            user: AuthMeUserPayload {
+                id: user.user.id,
+                username: user.user.username,
+                display_name: user.user.display_name,
+                phone_number_masked: user.user.phone_number_masked,
+                login_method: user.user.login_method.as_str(),
+                binding_status: user.user.binding_status.as_str(),
+                wechat_bound: user.user.wechat_bound,
+            },
+            available_login_methods: build_available_login_methods(&state),
+        },
+    ))
+}
+
+fn build_available_login_methods(state: &AppState) -> Vec<&'static str> {
+    let mut methods = Vec::new();
+    if state.config.sms_auth_enabled {
+        methods.push("phone");
+    }
+    if state.config.wechat_auth_enabled {
+        methods.push("wechat");
+    }
+    methods
+}
--- a/server-rs/crates/api-server/src/config.rs
+++ b/server-rs/crates/api-server/src/config.rs
@@ -14,6 +14,8 @@ pub struct AppConfig {
    pub refresh_cookie_secure: bool,
    pub refresh_cookie_same_site: String,
    pub refresh_session_ttl_days: u32,
+    pub sms_auth_enabled: bool,
+    pub wechat_auth_enabled: bool,
    pub oss_bucket: Option<String>,
    pub oss_endpoint: Option<String>,
    pub oss_access_key_id: Option<String>,
@@ -38,6 +40,8 @@ impl Default for AppConfig {
            refresh_cookie_secure: false,
            refresh_cookie_same_site: "Lax".to_string(),
            refresh_session_ttl_days: 30,
+            sms_auth_enabled: false,
+            wechat_auth_enabled: false,
            oss_bucket: None,
            oss_endpoint: None,
            oss_access_key_id: None,
@@ -115,6 +119,14 @@ impl AppConfig {
            config.refresh_session_ttl_days = refresh_session_ttl_days;
        }

+        if let Some(sms_auth_enabled) = read_first_bool_env(&["SMS_AUTH_ENABLED"]) {
+            config.sms_auth_enabled = sms_auth_enabled;
+        }
+
+        if let Some(wechat_auth_enabled) = read_first_bool_env(&["WECHAT_AUTH_ENABLED"]) {
+            config.wechat_auth_enabled = wechat_auth_enabled;
+        }
+
        config.oss_bucket = read_first_non_empty_env(&["ALIYUN_OSS_BUCKET"]);
        config.oss_endpoint = read_first_non_empty_env(&["ALIYUN_OSS_ENDPOINT"]);
        config.oss_access_key_id = read_first_non_empty_env(&["ALIYUN_OSS_ACCESS_KEY_ID"]);
--- a/server-rs/crates/api-server/src/main.rs
+++ b/server-rs/crates/api-server/src/main.rs
@@ -2,6 +2,7 @@ mod api_response;
 mod app;
 mod assets;
 mod auth;
+mod auth_me;
 mod config;
 mod error_middleware;
 mod health;
--- a/server-rs/crates/module-auth/README.md
+++ b/server-rs/crates/module-auth/README.md
@@ -49,3 +49,4 @@
 3. 身份与会话状态最终由 `crates/spacetime-module` 聚合，前端接口由 `crates/api-server` 暴露。
 4. 当前阶段允许先使用进程内适配器把用例跑通，但后续切到 `SpacetimeDB` 时应保持用例接口稳定。
 5. 当前 `PasswordEntryService` 已承接用户名校验、密码哈希校验、自动建号与重复登录复用逻辑。
+6. 当前 `PasswordEntryService` 已提供按 `user_id` 查询当前用户快照的能力，供 `/api/auth/me` 复用。
--- a/server-rs/crates/module-auth/src/lib.rs
+++ b/server-rs/crates/module-auth/src/lib.rs
@@ -49,6 +49,11 @@ pub struct PasswordEntryResult {
    pub created: bool,
 }

+#[derive(Clone, Debug, PartialEq, Eq)]
+pub struct AuthMeResult {
+    pub user: AuthUser,
+}
+
 #[derive(Clone, Debug, PartialEq, Eq)]
 pub enum PasswordEntryError {
    InvalidUsername,
@@ -138,6 +143,17 @@ impl PasswordEntryService {
    }
 }

+impl PasswordEntryService {
+    pub fn get_user_by_id(
+        &self,
+        user_id: &str,
+    ) -> Result<Option<AuthMeResult>, PasswordEntryError> {
+        self.store
+            .find_by_user_id(user_id)
+            .map(|maybe_user| maybe_user.map(|stored| AuthMeResult { user: stored.user }))
+    }
+}
+
 impl Default for InMemoryPasswordUserStore {
    fn default() -> Self {
        Self {
@@ -198,6 +214,22 @@ impl InMemoryPasswordUserStore {

        Ok(user)
    }
+
+    fn find_by_user_id(
+        &self,
+        user_id: &str,
+    ) -> Result<Option<StoredPasswordUser>, PasswordEntryError> {
+        let state = self
+            .inner
+            .lock()
+            .map_err(|_| PasswordEntryError::Store("用户仓储锁已中毒".to_string()))?;
+
+        Ok(state
+            .users_by_username
+            .values()
+            .find(|stored_user| stored_user.user.id == user_id)
+            .cloned())
+    }
 }

 #[derive(Debug, PartialEq, Eq)]