Dev Crypto (#730)

* feat: remove admin mode
* feat: bugfix
* feat(crypto): 添加RSA-OAEP + AES-GCM混合加密服务
- 实现CryptoService加密服务，支持RSA-OAEP-2048 + AES-256-GCM混合加密
- 集成数据库层加密，自动加密存储敏感字段(API密钥、私钥等)
- 支持环境变量DATA_ENCRYPTION_KEY配置数据加密密钥
- 适配SQLite数据库加密存储(从PostgreSQL移植)
- 保持Hyperliquid代理钱包处理兼容性
- 更新.gitignore以正确处理crypto模块代码
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(scripts): 添加加密环境一键设置脚本
- setup_encryption.sh: 一键生成RSA密钥对+数据加密密钥+JWT密钥
- generate_rsa_keys.sh: 专业的RSA-2048密钥对生成工具
- generate_data_key.sh: 生成AES-256数据加密密钥和JWT认证密钥
- ENCRYPTION_README.md: 详细的加密系统说明文档
- 支持自动检测现有密钥并只生成缺失的密钥
- 完善的权限管理和安全验证
- 兼容macOS和Linux的跨平台支持
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(api): 添加加密API端点和Gin框架集成
- 新增CryptoHandler处理加密相关API请求
- 提供/api/crypto/public-key端点获取RSA公钥
- 提供/api/crypto/decrypt端点解密敏感数据
- 适配Gin框架的HTTP处理器格式
- 集成CryptoService到API服务器
- 支持前端加密数据传输和解密
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(web): 添加前端加密服务和两阶段密钥输入组件
- CryptoService: Web Crypto API集成，支持RSA-OAEP加密
- TwoStageKeyModal: 安全的两阶段私钥输入组件，支持剪贴板混淆
- 完善国际化翻译支持加密相关UI文本
- 修复TypeScript类型错误和编译问题
- 支持前端敏感数据加密传输到后端
- 增强用户隐私保护和数据安全
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(auth): 增强JWT认证安全性
- 优先使用环境变量JWT_SECRET而不是数据库配置
- 支持通过.env文件安全配置JWT认证密钥
- 保留数据库配置作为回退机制
- 改进JWT密钥来源日志显示
- 增强系统启动时的安全配置检查
- 支持运行时动态JWT密钥切换
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(docker): 集成加密环境变量到Docker部署
- 添加DATA_ENCRYPTION_KEY环境变量传递到容器
- 添加JWT_SECRET环境变量支持
- 挂载secrets目录使容器可访问RSA密钥文件
- 确保容器内加密服务正常工作
- 解决容器启动失败和加密初始化问题
- 完善Docker Compose加密环境配置
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat(start): 集成自动加密环境检测和设置
- 增强check_encryption()函数检测JWT_SECRET和DATA_ENCRYPTION_KEY
- 自动运行setup_encryption.sh当检测到缺失密钥时
- 改进加密状态显示，包含RSA+AES+JWT全套加密信息
- 优化用户体验，提供清晰的加密配置反馈
- 支持一键设置完整加密环境
- 确保容器启动前加密环境就绪
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* feat: format fix
* fix(security): 修复前端模型和交易所配置敏感数据明文传输
- 在handleSaveModelConfig中对API密钥进行RSA-OAEP加密
- 在handleSaveExchangeConfig中对API密钥、Secret密钥和Aster私钥进行加密
- 只有非空敏感数据才进行加密处理
- 添加加密失败错误处理和用户友好提示
- 增加encryptionFailed翻译键的中英文支持
- 使用用户ID和会话ID作为加密上下文增强安全性
这修复了之前敏感数据在网络传输中以明文形式发送的安全漏洞。
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
* fix(crypto): 修复后端加密服务集成和缺失的加密端点
- 添加Server结构体缺少的cryptoService字段
- 实现handleUpdateModelConfigsEncrypted处理器用于模型配置加密传输
- 修复handleUpdateExchangeConfigsEncrypted中的函数调用
- 在前端API中添加updateModelConfigsEncrypted方法
- 统一RSA密钥路径从secrets/rsa_key改为keys/rsa_private.key
- 确保前端可以使用加密端点安全传输敏感数据
- 兼容原有加密通信模式和二段输入私钥功能
🤖 Generated with [Claude Code](https://claude.ai/code)
Co-Authored-By: tinkle-community <tinklefund@gmail.com>
---------
Co-authored-by: icy <icyoung520@gmail.com>
Co-authored-by: tinkle-community <tinklefund@gmail.com>

api/crypto_handler.go

@@ -1,118 +1,63 @@
 package api
 
 import (
-	"encoding/json"
 	"log"
 	"net/http"
 	"nofx/crypto"
+
+	"github.com/gin-gonic/gin"
 )
 
 // CryptoHandler 加密 API 處理器
 type CryptoHandler struct {
-	em *crypto.EncryptionManager
-	ss *crypto.SecureStorage
+	cryptoService *crypto.CryptoService
 }
 
 // NewCryptoHandler 創建加密處理器
-func NewCryptoHandler(ss *crypto.SecureStorage) (*CryptoHandler, error) {
-	em, err := crypto.GetEncryptionManager()
-	if err != nil {
-		return nil, err
-	}
-
+func NewCryptoHandler(cryptoService *crypto.CryptoService) *CryptoHandler {
 	return &CryptoHandler{
-		em: em,
-		ss: ss,
-	}, nil
+		cryptoService: cryptoService,
+	}
 }
 
 // ==================== 公鑰端點 ====================
 
 // HandleGetPublicKey 獲取伺服器公鑰
-func (h *CryptoHandler) HandleGetPublicKey(w http.ResponseWriter, r *http.Request) {
-	if r.Method != http.MethodGet {
-		http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
-		return
-	}
+func (h *CryptoHandler) HandleGetPublicKey(c *gin.Context) {
+	publicKey := h.cryptoService.GetPublicKeyPEM()
 
-	publicKey := h.em.GetPublicKeyPEM()
-
-	w.Header().Set("Content-Type", "application/json")
-	json.NewEncoder(w).Encode(map[string]string{
+	c.JSON(http.StatusOK, map[string]string{
 		"public_key": publicKey,
-		"algorithm":  "RSA-OAEP-4096",
+		"algorithm":  "RSA-OAEP-2048",
 	})
 }
 
 // ==================== 加密數據解密端點 ====================
 
-// HandleDecryptPrivateKey 解密客戶端傳送的加密私鑰
-func (h *CryptoHandler) HandleDecryptPrivateKey(w http.ResponseWriter, r *http.Request) {
-	if r.Method != http.MethodPost {
-		http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
-		return
-	}
-
-	var req struct {
-		EncryptedKey string `json:"encrypted_key"`
-	}
-
-	if err := json.NewDecoder(r.Body).Decode(&req); err != nil {
-		http.Error(w, "Invalid request", http.StatusBadRequest)
+// HandleDecryptSensitiveData 解密客戶端傳送的加密数据
+func (h *CryptoHandler) HandleDecryptSensitiveData(c *gin.Context) {
+	var payload crypto.EncryptedPayload
+	if err := c.ShouldBindJSON(&payload); err != nil {
+		c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid request"})
 		return
 	}
 
 	// 解密
-	decrypted, err := h.em.DecryptWithPrivateKey(req.EncryptedKey)
+	decrypted, err := h.cryptoService.DecryptSensitiveData(&payload)
 	if err != nil {
 		log.Printf("❌ 解密失敗: %v", err)
-		http.Error(w, "Decryption failed", http.StatusInternalServerError)
+		c.JSON(http.StatusInternalServerError, gin.H{"error": "Decryption failed"})
 		return
 	}
 
-	// 驗證私鑰格式
-	if !isValidPrivateKey(decrypted) {
-		http.Error(w, "Invalid private key format", http.StatusBadRequest)
-		return
-	}
-
-	// ⚠️ 注意：實際生產中，這裡不應該直接返回明文私鑰
-	// 應該立即使用主密鑰加密後存入數據庫，然後返回成功狀態
-	w.Header().Set("Content-Type", "application/json")
-	json.NewEncoder(w).Encode(map[string]string{
-		"status":  "success",
-		"message": "私鑰已成功解密並驗證",
+	c.JSON(http.StatusOK, map[string]string{
+		"plaintext": decrypted,
 	})
 }
 
 // ==================== 審計日誌查詢端點 ====================
 
-// HandleGetAuditLogs 查詢審計日誌
-func (h *CryptoHandler) HandleGetAuditLogs(w http.ResponseWriter, r *http.Request) {
-	if r.Method != http.MethodGet {
-		http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
-		return
-	}
-
-	// 從請求中獲取用戶 ID（應該從 JWT token 中提取）
-	userID := r.Header.Get("X-User-ID")
-	if userID == "" {
-		http.Error(w, "Unauthorized", http.StatusUnauthorized)
-		return
-	}
-
-	logs, err := h.ss.GetAuditLogs(userID, 100)
-	if err != nil {
-		http.Error(w, "Failed to fetch audit logs", http.StatusInternalServerError)
-		return
-	}
-
-	w.Header().Set("Content-Type", "application/json")
-	json.NewEncoder(w).Encode(map[string]interface{}{
-		"logs":  logs,
-		"count": len(logs),
-	})
-}
+// 删除审计日志相关功能，在当前简化的实现中不需要
 
 // ==================== 工具函數 ====================