### :登录应用 - **管理员账号**: `admin` - **默认密码**: `Admin@2025` - **加密密码**: 留空使用默认值 `PrivateChat2025Secure!` ### 使用说明 1. **多用户聊天**: 所有用户必须使用相同的加密密码才能看到彼此的消息 2. **消息撤回**: 发送后 2 分钟内可以撤回消息 3. **管理员功能**: 登录 admin 账户可访问用户管理、系统公告等功能 新增功能 ✅ 管理员删除用户功能：管理员可以删除用户账户（不能删除自己） ✅ 移动端键盘优化：发送消息后键盘不收起，输入框保持焦点 ✅ 在线用户数显示修复：正确显示在线用户数量 ✅ RSA 加密登录：登录密码使用 RSA-2048 加密传输，防止明文泄露 安全增强 ✅ RSA-2048 密钥交换：登录密码使用非对称加密传输 ✅ PKCS#1 v1.5 兼容：支持 JSEncrypt 前端库加密格式 ✅ 密码传输加密：网络抓包无法获取明文密码 ✅ 修复密码存储问题：bcrypt 哈希不再二次加密 全面安全升级 ✅ 修复裸露的 except 语句：所有异常捕获都使用具体异常类型 ✅ 严格 CORS 配置：默认禁止跨域请求，需明确配置允许的域名 ✅ AES-256-CBC 加密：前后端统一使用 AES-256-CBC 模式，与 CryptoJS 完全兼容 ✅ 修复内存泄漏：速率限制器添加定期清理机制，防止无限增长 ✅ 安全 HTTP 头：添加 X-Frame-Options、CSP、HSTS 等安全响应头 ✅ 密码历史检查：防止用户重复使用最近的密码（默认记录5个） ✅ Refresh Token 机制：支持 token 刷新，延长会话时长（默认7天） ✅ 会话固定保护：限制每用户最大活跃会话数（默认5个） ✅ 消除魔术数字：所有硬编码常量移至配置文件 ✅ 输入验证增强：添加更严格的输入验证规则 ✅ 数据库查询优化：添加用户信息缓存，提升查询性能 ✅ 日志掩码工具：敏感信息在日志中自动掩码 ✅ 配置验证：启动时验证配置参数的合法性 ✅ 修复 Logger 导入问题：修复 encryption.py 中 logger 未定义的错误 ✅ WebSocket 连接修复：修复 WebSocket 连接后立即断开的问题 新增 API ✅ DELETE /api/admin/user/{username}：删除用户（管理员） ✅ POST /api/auth/refresh：刷新 access token ✅ 密码历史表：记录用户密码变更历史 ✅ Refresh Token 表：管理长期有效的 refresh tokens 配置项新增 ✅ PASSWORD_HISTORY_COUNT：密码历史记录数（默认：5） ✅ REFRESH_TOKEN_EXPIRE_DAYS：refresh token 有效期（默认：7天） ✅ MAX_ACTIVE_SESSIONS：每用户最大活跃会话数（默认：5） ✅ IP_LOCK_MINUTES：IP 锁定时长（默认：30分钟） ✅ IP_LOCK_THRESHOLD：触发 IP 锁定的失败次数（默认：20次） ✅ RATE_LIMIT_MAX_IPS：速率限制器最大 IP 数量（默认：10000）