feat: 管理面板安全加固与并发优化

- 多会话/多实例：session token 落库校验，避免互相挤掉/频繁 401

- 登录限速：按 IP 失败计数，返回 429 + Retry-After

- CORS 收敛：默认不对 /api 开放，按 CORS_ALLOWED_ORIGINS 白名单放行

- Slowloris 防护：自定义 http.Server 超时与 MaxHeaderBytes

- 默认密码改造：ADMIN_PASSWORD 托管或首次登录强制初始化；env 模式禁用面板改密

- 批量导入优化：单事务+一次性分配 sort/port，新增节点自动生成入站用户名密码

- 供应链校验：构建/CI 下载 sing-box 后做 sha256 校验

- 版本更新与文档对齐

Author: anonymous

.github/workflows/ci.yml

@@ -185,8 +185,12 @@ jobs:
 
       - name: Download sing-box
         run: |
-          curl -fLo sing-box.tar.gz "https://github.com/SagerNet/sing-box/releases/download/v${{ env.SINGBOX_VERSION }}/sing-box-${{ env.SINGBOX_VERSION }}-linux-amd64.tar.gz"
-          tar xzf sing-box.tar.gz
+          ASSET="sing-box-${{ env.SINGBOX_VERSION }}-linux-amd64.tar.gz"
+          curl -fLo "$ASSET" "https://github.com/SagerNet/sing-box/releases/download/v${{ env.SINGBOX_VERSION }}/$ASSET"
+          DIGEST="$(curl -fsSL "https://api.github.com/repos/SagerNet/sing-box/releases/tags/v${{ env.SINGBOX_VERSION }}" | jq -r --arg asset "$ASSET" '.assets[] | select(.name==$asset) | .digest')"
+          test -n "$DIGEST" && test "$DIGEST" != "null"
+          echo "${DIGEST#sha256:}  $ASSET" | sha256sum -c -
+          tar xzf "$ASSET"
           mv sing-box-*/sing-box .
 
       - name: Create release package
@@ -202,7 +206,6 @@ jobs:
           export PATH="$PWD:$PATH"
           export CONFIG_DIR="$PWD/config"
           export PORT="${PORT:-30000}"
-          export ADMIN_PASSWORD="${ADMIN_PASSWORD:-admin123}"
           ./main
           EOF
           chmod +x singbox-proxy-manager-linux-amd64/start.sh
@@ -258,7 +261,6 @@ jobs:
           export PATH="$PWD:$PATH"
           export CONFIG_DIR="$PWD/config"
           export PORT="${PORT:-30000}"
-          export ADMIN_PASSWORD="${ADMIN_PASSWORD:-admin123}"
           ./main
           EOF
           chmod +x singbox-proxy-manager-freebsd-amd64/start.sh

.gitlab-ci.yml

@@ -166,12 +166,11 @@ build-freebsd:
       cat > singbox-proxy-manager-freebsd-amd64/start.sh << 'EOF'
       #!/bin/sh
       cd "$(dirname "$0")"
-      export PATH="$PWD:$PATH"
-      export CONFIG_DIR="$PWD/config"
-      export PORT="${PORT:-30000}"
-      export ADMIN_PASSWORD="${ADMIN_PASSWORD:-admin123}"
-      ./main
-      EOF
+	      export PATH="$PWD:$PATH"
+	      export CONFIG_DIR="$PWD/config"
+	      export PORT="${PORT:-30000}"
+	      ./main
+	      EOF
     - chmod +x singbox-proxy-manager-freebsd-amd64/start.sh
     - tar czf singbox-proxy-manager-freebsd-amd64.tar.gz singbox-proxy-manager-freebsd-amd64/
   artifacts:
@@ -195,11 +194,16 @@ build-linux:
   script:
     - go mod download
     - GOOS=linux GOARCH=amd64 CGO_ENABLED=0 go build -o main ./backend
-    # 下载Linux版sing-box
-    - apt-get update && apt-get install -y curl
-    - curl -fLo sing-box.tar.gz "https://github.com/SagerNet/sing-box/releases/download/v${SINGBOX_VERSION}/sing-box-${SINGBOX_VERSION}-linux-amd64.tar.gz"
-    - tar xzf sing-box.tar.gz
-    - mv sing-box-*/sing-box .
+	    # 下载Linux版sing-box
+	    - apt-get update && apt-get install -y --no-install-recommends ca-certificates curl jq
+	    - |
+	      ASSET="sing-box-${SINGBOX_VERSION}-linux-amd64.tar.gz"
+	      curl -fLo "$ASSET" "https://github.com/SagerNet/sing-box/releases/download/v${SINGBOX_VERSION}/$ASSET"
+	      DIGEST="$(curl -fsSL "https://api.github.com/repos/SagerNet/sing-box/releases/tags/v${SINGBOX_VERSION}" | jq -r --arg asset "$ASSET" '.assets[] | select(.name==$asset) | .digest')"
+	      test -n "$DIGEST" && test "$DIGEST" != "null"
+	      echo "${DIGEST#sha256:}  $ASSET" | sha256sum -c -
+	      tar xzf "$ASSET"
+	    - mv sing-box-*/sing-box .
     # 创建发布包
     - mkdir -p singbox-proxy-manager-linux-amd64/frontend
     - mv main singbox-proxy-manager-linux-amd64/
@@ -211,12 +215,11 @@ build-linux:
       cat > singbox-proxy-manager-linux-amd64/start.sh << 'EOF'
       #!/bin/sh
       cd "$(dirname "$0")"
-      export PATH="$PWD:$PATH"
-      export CONFIG_DIR="$PWD/config"
-      export PORT="${PORT:-30000}"
-      export ADMIN_PASSWORD="${ADMIN_PASSWORD:-admin123}"
-      ./main
-      EOF
+	      export PATH="$PWD:$PATH"
+	      export CONFIG_DIR="$PWD/config"
+	      export PORT="${PORT:-30000}"
+	      ./main
+	      EOF
     - chmod +x singbox-proxy-manager-linux-amd64/start.sh
     - tar czf singbox-proxy-manager-linux-amd64.tar.gz singbox-proxy-manager-linux-amd64/
   artifacts:

Dockerfile

@@ -20,8 +20,14 @@ ARG SINGBOX_VERSION=1.12.12
 RUN apt-get update && apt-get install -y --no-install-recommends \
     ca-certificates \
     curl \
-    && curl -Lo /tmp/sing-box.tar.gz "https://github.com/SagerNet/sing-box/releases/download/v${SINGBOX_VERSION}/sing-box-${SINGBOX_VERSION}-linux-amd64.tar.gz" \
-    && tar -xzf /tmp/sing-box.tar.gz -C /tmp \
+    jq \
+    && ASSET="sing-box-${SINGBOX_VERSION}-linux-amd64.tar.gz" \
+    && curl -fL -o "/tmp/${ASSET}" "https://github.com/SagerNet/sing-box/releases/download/v${SINGBOX_VERSION}/${ASSET}" \
+    && DIGEST="$(curl -fsSL "https://api.github.com/repos/SagerNet/sing-box/releases/tags/v${SINGBOX_VERSION}" | jq -r --arg asset "${ASSET}" '.assets[] | select(.name==$asset) | .digest')" \
+    && test -n "$DIGEST" && test "$DIGEST" != "null" \
+    && DIGEST="${DIGEST#sha256:}" \
+    && echo "${DIGEST}  /tmp/${ASSET}" | sha256sum -c - \
+    && tar -xzf "/tmp/${ASSET}" -C /tmp \
     && mv /tmp/sing-box-*/sing-box /usr/local/bin/ \
     && chmod +x /usr/local/bin/sing-box \
     && rm -rf /tmp/sing-box* \
@@ -35,7 +41,7 @@ RUN mkdir -p /app/config
 
 ENV PORT=30000
 ENV CONFIG_DIR=/app/config
-ENV ADMIN_PASSWORD=admin123
+ENV ADMIN_PASSWORD=
 
 EXPOSE 30000
 VOLUME ["/app/config"]

README.md

@@ -2,7 +2,7 @@
 
 <div align="center">
 
-![Version](https://img.shields.io/badge/version-1.1.2-blue.svg)
+![Version](https://img.shields.io/badge/version-1.2.0-blue.svg)
 ![License](https://img.shields.io/badge/license-MIT-green.svg)
 ![SingBox](https://img.shields.io/badge/sing--box-1.12.12-orange.svg)
 
@@ -46,8 +46,9 @@
 git clone https://github.com/cheluen/singbox-proxy-manager.git
 cd singbox-proxy-manager
 
-# 2. 修改默认密码（重要！）
-# 编辑 docker-compose.yml，修改 ADMIN_PASSWORD
+# 2. 可选：设置管理员密码（推荐）
+# 方式 A：通过环境变量 ADMIN_PASSWORD 指定固定管理员密码（面板内将无法修改）
+# 方式 B：不设置 ADMIN_PASSWORD，首次打开面板会要求设置管理员密码（可在面板内修改）
 nano docker-compose.yml
 
 # 3. 启动服务
@@ -66,15 +67,17 @@ docker compose logs -f
 ### 1. 登录系统
 
 - 默认端口：`30000`
-- 默认密码：`admin123`（**请立即修改！**）
+- **不再提供默认密码**
+  - 若设置 `ADMIN_PASSWORD` 且不为空：登录密码为该值；面板内无法修改管理员密码（需修改环境变量并重启服务）
+  - 若未设置 `ADMIN_PASSWORD`：首次打开管理面板会要求先设置管理员密码（设置后可在面板内修改）
 
 ### 2. 添加节点
 
 #### 方式一：单个添加
 1. 点击「添加节点」按钮
 2. 粘贴分享链接（支持 vless://、vmess://、hysteria2:// 等）
 3. 设置入站端口（留空自动分配）
-4. 设置认证用户名密码（可选）
+4. 系统会为每个新节点自动生成入站用户名/密码（可在面板内单独或批量修改）
 
 #### 方式二：批量导入
 1. 点击「批量导入」
@@ -89,8 +92,8 @@ docker compose logs -f
 代理类型：HTTP 或 SOCKS5
 服务器：您的服务器IP
 端口：30001、30002、30003...（对应各节点）
-用户名：在管理界面设置的用户名
-密码：在管理界面设置的密码
+用户名：在管理界面查看/修改（新节点会自动生成）
+密码：在管理界面查看/修改（新节点会自动生成）
 ```
 
 ### 4. 管理节点
@@ -113,7 +116,16 @@ docker compose logs -f
 environment:
   - PORT=30000              # 管理界面端口
   - CONFIG_DIR=/app/config  # 配置文件目录
-  - ADMIN_PASSWORD=admin123 # 管理密码（请修改！）
+  - ADMIN_PASSWORD=          # 可选：管理员密码（不为空则使用该值；面板内无法修改）
+  - CORS_ALLOWED_ORIGINS=    # 可选：管理 API 允许的跨域来源（逗号分隔；默认不启用 CORS）
+  - LOGIN_RATE_LIMIT_WINDOW_SECONDS=60   # 可选：登录限速窗口（秒）
+  - LOGIN_RATE_LIMIT_MAX_ATTEMPTS=10     # 可选：窗口内最大失败次数
+  - LOGIN_RATE_LIMIT_BLOCK_SECONDS=600   # 可选：触发限速后的封禁时间（秒）
+  - HTTP_READ_HEADER_TIMEOUT=5s          # 可选：管理 API 读请求头超时
+  - HTTP_READ_TIMEOUT=15s                # 可选：读请求体超时
+  - HTTP_WRITE_TIMEOUT=30s               # 可选：写响应超时
+  - HTTP_IDLE_TIMEOUT=60s                # 可选：空闲连接超时
+  - HTTP_MAX_HEADER_BYTES=1048576        # 可选：最大请求头大小（字节）
   - TURSO_DATABASE_URL=${TURSO_DATABASE_URL} # 可选：Turso 远程数据库 URL（需与 TURSO_AUTH_TOKEN 一起设置）
   - TURSO_AUTH_TOKEN=${TURSO_AUTH_TOKEN}     # 可选：Turso 认证 Token（需与 TURSO_DATABASE_URL 一起设置）
 ```
@@ -226,11 +238,9 @@ docker compose up -d
 
 ## 🔒 安全建议
 
-1. **立即修改默认密码**
-   ```bash
-   # 编辑 docker-compose.yml
-   - ADMIN_PASSWORD=您的强密码
-   ```
+1. **设置强管理员密码**
+   - 推荐：通过环境变量 `ADMIN_PASSWORD` 配置固定密码（面板内无法修改，需改环境变量并重启）
+   - 或者：不设置 `ADMIN_PASSWORD`，首次打开面板时设置一个强密码（后续可在面板内修改）
 
 2. **限制访问 IP**（可选）
    ```bash

backend/api/auth_sessions.go

@@ -0,0 +1,94 @@
+package api
+
+import (
+	"crypto/rand"
+	"crypto/sha256"
+	"crypto/subtle"
+	"database/sql"
+	"encoding/base64"
+	"encoding/hex"
+	"errors"
+	"strings"
+	"time"
+
+	"github.com/gin-gonic/gin"
+)
+
+const adminSessionDuration = 24 * time.Hour
+
+func normalizeAuthToken(headerValue string) string {
+	token := strings.TrimSpace(headerValue)
+	if token == "" {
+		return ""
+	}
+	if strings.HasPrefix(strings.ToLower(token), "bearer ") {
+		return strings.TrimSpace(token[7:])
+	}
+	return token
+}
+
+func constantTimeEqual(expected string, actual string) bool {
+	if len(expected) != len(actual) {
+		return false
+	}
+	return subtle.ConstantTimeCompare([]byte(expected), []byte(actual)) == 1
+}
+
+func hashSessionToken(token string) string {
+	sum := sha256.Sum256([]byte(token))
+	return hex.EncodeToString(sum[:])
+}
+
+func (h *Handler) isValidAdminSession(token string) (bool, error) {
+	if token == "" {
+		return false, nil
+	}
+
+	tokenHash := hashSessionToken(token)
+	var expiresAt int64
+	err := h.db.QueryRow("SELECT expires_at FROM admin_sessions WHERE token_hash = ? LIMIT 1", tokenHash).Scan(&expiresAt)
+	switch err {
+	case nil:
+		if time.Now().Unix() > expiresAt {
+			_, _ = h.db.Exec("DELETE FROM admin_sessions WHERE token_hash = ?", tokenHash)
+			return false, nil
+		}
+		return true, nil
+	case sql.ErrNoRows:
+		return false, nil
+	default:
+		return false, err
+	}
+}
+
+func (h *Handler) createAdminSession(c *gin.Context) (string, time.Time, error) {
+	expiry := time.Now().Add(adminSessionDuration)
+	userAgent := ""
+	ip := ""
+	if c != nil && c.Request != nil {
+		userAgent = c.Request.UserAgent()
+		ip = c.ClientIP()
+	}
+
+	for i := 0; i < 3; i++ {
+		tokenBytes := make([]byte, 32)
+		if _, err := rand.Read(tokenBytes); err != nil {
+			return "", time.Time{}, err
+		}
+		token := base64.URLEncoding.EncodeToString(tokenBytes)
+		tokenHash := hashSessionToken(token)
+
+		if _, err := h.db.Exec(
+			"INSERT INTO admin_sessions (token_hash, expires_at, user_agent, ip) VALUES (?, ?, ?, ?)",
+			tokenHash,
+			expiry.Unix(),
+			userAgent,
+			ip,
+		); err != nil {
+			continue
+		}
+		return token, expiry, nil
+	}
+
+	return "", time.Time{}, errors.New("failed to create session token")
+}

backend/api/credentials.go

@@ -0,0 +1,25 @@
+package api
+
+import (
+	"crypto/rand"
+	"encoding/base64"
+)
+
+func generateRandomString(length int) (string, error) {
+	if length <= 0 {
+		return "", nil
+	}
+
+	// RawURLEncoding expands by 4/3, round up enough bytes.
+	byteLen := (length*3)/4 + 2
+	b := make([]byte, byteLen)
+	if _, err := rand.Read(b); err != nil {
+		return "", err
+	}
+	s := base64.RawURLEncoding.EncodeToString(b)
+	if len(s) < length {
+		// Extremely unlikely, but keep correctness.
+		return s, nil
+	}
+	return s[:length], nil
+}