安全设置页面

📍 页面路径

管理后台 → 安全设置（/admin/security-settings）

🎯 页面功能

• 查看安全状态概览
• 配置登录通知
• 配置双因子认证（2FA）
• 配置 GitHub OAuth 登录
• 配置 HTTP 安全设置
• 管理登录入口路径

📋 页面布局

安全状态概览

显示当前安全配置状态：

• JWT认证：认证状态
• 双因子认证：2FA 启用状态
• GitHub OAuth：OAuth 配置状态
• 登录通知：通知配置状态
• 安全评分：基于当前配置的安全评分（0-100）
• 登录统计：今日成功登录、失败尝试、锁定账户数量

登录通知设置

配置登录成功/失败的通知：

• 启用通知：开启/关闭登录通知
• 成功通知：登录成功时的通知内容模板
• 失败通知：登录失败时的通知内容模板
• 测试通知：发送测试通知验证配置

双因子认证（2FA）

配置 TOTP 双因子认证：

• 启用状态：显示当前 2FA 启用状态
• 启用 2FA：生成二维码和密钥，使用 Authenticator 应用扫描
• 禁用 2FA：关闭双因子认证
• 备份码：生成和下载备份恢复码（用于丢失设备时恢复）

GitHub OAuth 配置

配置 GitHub OAuth 登录：

• Client ID：GitHub 应用的 Client ID
• Client Secret：GitHub 应用的 Client Secret
• 回调 URL：显示系统回调 URL（需在 GitHub 应用中配置）
• 白名单配置：配置允许登录的 GitHub 用户名和组织
• 信任 2FA：是否信任 GitHub 用户的 2FA 状态
• 绑定管理员：将当前管理员账户绑定到 GitHub 账户

HTTP 安全设置

配置 HTTP 安全头：

• 启用 Helmet：启用 Helmet.js 安全头
• 启用 HSTS：强制 HTTPS 连接
• 强制 HTTPS：重定向 HTTP 到 HTTPS

登录入口管理

管理登录入口路径：

• 启用随机化：启用登录路径随机化
• 启用通知：登录路径变更时发送通知
• 当前路径：显示当前登录路径
• 自定义路径：设置自定义登录路径
• 变更历史：查看登录路径变更历史

🔧 操作步骤

配置登录通知

1. 进入"登录通知设置"区域
2. 勾选"启用通知"
3. 编辑成功/失败通知模板
4. 点击"保存通知设置"
5. 点击"测试通知"验证配置

启用双因子认证

1. 进入"双因子认证"区域
2. 点击"启用 2FA"按钮
3. 使用手机 Authenticator 应用（如 Google Authenticator）扫描二维码
4. 输入应用显示的验证码
5. 点击"验证并启用"
6. 重要：下载并保存备份码，用于丢失设备时恢复

配置 GitHub OAuth

1. 在 GitHub 创建 OAuth App，获取 Client ID 和 Client Secret
2. 配置回调 URL 为系统显示的回调地址
3. 在"GitHub OAuth 配置"区域输入 Client ID 和 Client Secret
4. 点击"保存配置"
5. 配置白名单（可选）：输入允许登录的 GitHub 用户名或组织
6. 点击"保存白名单"
7. 绑定管理员账户：点击"绑定管理员"，使用 GitHub 账户登录授权

配置 HTTP 安全设置

1. 进入"HTTP 安全设置"区域
2. 根据需求启用安全选项：
   • 公网部署：建议启用所有选项
   • 内网部署：可选择性启用
3. 点击"保存 HTTP 安全设置"

管理登录入口

1. 进入"登录入口管理"区域
2. 查看当前登录路径
3. 可选操作：
   • 启用随机化：点击"启用随机化"开关
   • 设置自定义路径：点击"自定义路径"，输入新路径并保存
   • 查看变更历史：查看历史记录
4. 重要：路径变更后需记录新路径，原路径将失效

⚠️ 注意事项

• 2FA 备份码：必须妥善保管，丢失设备时需使用备份码恢复
• 登录路径变更：变更后原路径失效，需通知所有管理员
• GitHub OAuth：回调 URL 必须在 GitHub OAuth App 中正确配置
• HTTP 安全设置：启用后可能影响某些功能，建议先在测试环境验证