xiaoquan/rent
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: 精简 CI/CD 密钥,业务密钥迁移到数据库管理

Browse Source 
- Gitea Secrets 只保留 5 个基础密钥(DB密码、JWT、加密密钥)
- 删除 deploy.yml 中所有业务密钥的 secrets 注入
- docker-compose 移除业务环境变量,只保留 DB/JWT/ENCRYPTION_KEY
- 业务密钥(微信/支付宝/短信等)通过后台「系统密钥」页面管理
- 改用 export 方式注入环境变量,不再写 .env 文件
- 更新部署文档

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
xiaoquan
2026-06-02 12:06:43 +08:00
parent 3b75e26599
commit fefd64957d
4 changed files with 30 additions and 97 deletions
Download Patch File Download Diff File Expand all files Collapse all files
.gitea/workflows/deploy.yml
+14 -44
View File
@@ -66,43 +66,20 @@ jobs:
steps:
- uses: actions/checkout@v4
- name: Generate .env from secrets
run: |
cat > deploy/docker/.env.prod << 'EOF'
PROD_DB_PASSWORD=${{ secrets.PROD_DB_PASSWORD }}
PROD_JWT_SECRET=${{ secrets.PROD_JWT_SECRET }}
PROD_JWT_EXPIRES_IN=${{ secrets.PROD_JWT_EXPIRES_IN }}
PROD_JWT_REFRESH_EXPIRES_IN=${{ secrets.PROD_JWT_REFRESH_EXPIRES_IN }}
PROD_SMS_ACCESS_KEY_ID=${{ secrets.PROD_SMS_ACCESS_KEY_ID }}
PROD_SMS_ACCESS_KEY_SECRET=${{ secrets.PROD_SMS_ACCESS_KEY_SECRET }}
PROD_SMS_SIGN_NAME=${{ secrets.PROD_SMS_SIGN_NAME }}
PROD_SMS_TEMPLATE_CODE=${{ secrets.PROD_SMS_TEMPLATE_CODE }}
PROD_WECHAT_APPID=${{ secrets.PROD_WECHAT_APPID }}
PROD_WECHAT_SECRET=${{ secrets.PROD_WECHAT_SECRET }}
PROD_WECHAT_MCHID=${{ secrets.PROD_WECHAT_MCHID }}
PROD_WECHAT_SERIAL_NO=${{ secrets.PROD_WECHAT_SERIAL_NO }}
PROD_WECHAT_APIV3_KEY=${{ secrets.PROD_WECHAT_APIV3_KEY }}
PROD_WECHAT_PRIVATE_KEY=${{ secrets.PROD_WECHAT_PRIVATE_KEY }}
PROD_WECHAT_PAY_NOTIFY_URL=${{ secrets.PROD_WECHAT_PAY_NOTIFY_URL }}
PROD_WECHAT_REFUND_NOTIFY_URL=${{ secrets.PROD_WECHAT_REFUND_NOTIFY_URL }}
PROD_ALIPAY_APPID=${{ secrets.PROD_ALIPAY_APPID }}
PROD_ALIPAY_PRIVATE_KEY=${{ secrets.PROD_ALIPAY_PRIVATE_KEY }}
PROD_API_BASE_URL=${{ secrets.PROD_API_BASE_URL }}
EOF
chmod 600 deploy/docker/.env.prod
- name: Deploy to production
run: |
echo "部署到生产环境..."
cd deploy/docker
docker-compose -f docker-compose.prod.yml --env-file .env.prod down --remove-orphans
docker-compose -f docker-compose.prod.yml --env-file .env.prod build --parallel
docker-compose -f docker-compose.prod.yml --env-file .env.prod up -d
export PROD_DB_PASSWORD="${{ secrets.PROD_DB_PASSWORD }}"
export PROD_JWT_SECRET="${{ secrets.PROD_JWT_SECRET }}"
export ENCRYPTION_KEY="${{ secrets.ENCRYPTION_KEY }}"
docker-compose -f docker-compose.prod.yml down --remove-orphans
docker-compose -f docker-compose.prod.yml build --parallel
docker-compose -f docker-compose.prod.yml up -d
docker image prune -f
echo "等待服务启动..."
sleep 10
docker-compose -f docker-compose.prod.yml --env-file .env.prod ps
rm -f .env.prod
docker-compose -f docker-compose.prod.yml ps
deploy-test:
runs-on: [self-hosted, rent-deploy]
@@ -111,24 +88,17 @@ jobs:
steps:
- uses: actions/checkout@v4
- name: Generate .env from secrets
run: |
cat > deploy/docker/.env.test << 'EOF'
TEST_DB_PASSWORD=${{ secrets.TEST_DB_PASSWORD }}
TEST_JWT_SECRET=${{ secrets.TEST_JWT_SECRET }}
TEST_API_BASE_URL=${{ secrets.TEST_API_BASE_URL }}
EOF
chmod 600 deploy/docker/.env.test
- name: Deploy to test
run: |
echo "部署到测试环境..."
cd deploy/docker
docker-compose -f docker-compose.test.yml --env-file .env.test down --remove-orphans
docker-compose -f docker-compose.test.yml --env-file .env.test build --parallel
docker-compose -f docker-compose.test.yml --env-file .env.test up -d
export TEST_DB_PASSWORD="${{ secrets.TEST_DB_PASSWORD }}"
export TEST_JWT_SECRET="${{ secrets.TEST_JWT_SECRET }}"
export ENCRYPTION_KEY="${{ secrets.ENCRYPTION_KEY }}"
docker-compose -f docker-compose.test.yml down --remove-orphans
docker-compose -f docker-compose.test.yml build --parallel
docker-compose -f docker-compose.test.yml up -d
docker image prune -f
echo "等待服务启动..."
sleep 10
docker-compose -f docker-compose.test.yml --env-file .env.test ps
rm -f .env.test
docker-compose -f docker-compose.test.yml ps
deploy/README.md
+12 -34
View File
@@ -148,45 +148,23 @@ docker logs rent-act-runner
在 Gitea → **Settings → Actions → Runners** 页面应能看到 `rent-deploy-runner` 已注册并在线。
### 第 3 步:配置 Secrets(密钥安全)
### 第 3 步:配置 Secrets
> 所有密钥通过 Gitea Secrets 管理,服务器上不存储任何密码文件
> CI/CD 流水线只需要 4 个基础密钥,其他业务密钥(微信、支付宝、短信等)通过平台后台「系统密钥」页面管理
Gitea → **仓库 → Settings → Actions → Secrets**,添加以下密钥
Gitea → **仓库 → Settings → Actions → Secrets**,添加:
**生产环境:**
| Secret 名 | 说明 | 生成方式 |
|-----------|------|----------|
| `PROD_DB_PASSWORD` | 生产数据库密码 | 自定义强密码 |
| `PROD_JWT_SECRET` | 生产 JWT 密钥 | `openssl rand -hex 32` |
| `TEST_DB_PASSWORD` | 测试数据库密码 | 自定义强密码 |
| `TEST_JWT_SECRET` | 测试 JWT 密钥 | `openssl rand -hex 32` |
| `ENCRYPTION_KEY` | 业务密钥加密密钥 | `openssl rand -hex 32` |
| Secret 名 | 说明 | 示例 |
|-----------|------|------|
| `PROD_DB_PASSWORD` | 数据库密码 | 强密码 |
| `PROD_JWT_SECRET` | JWT 密钥 | 随机字符串 |
| `PROD_JWT_EXPIRES_IN` | Token 过期时间 | `2h` |
| `PROD_JWT_REFRESH_EXPIRES_IN` | 刷新 Token 过期 | `7d` |
| `PROD_SMS_ACCESS_KEY_ID` | 阿里云 AK | 短信服务 |
| `PROD_SMS_ACCESS_KEY_SECRET` | 阿里云 SK | 短信服务 |
| `PROD_SMS_SIGN_NAME` | 短信签名 | 品居会 |
| `PROD_SMS_TEMPLATE_CODE` | 短信模板编码 | SMS_xxx |
| `PROD_WECHAT_APPID` | 微信 AppID | wx1234... |
| `PROD_WECHAT_SECRET` | 微信 Secret | 微信密钥 |
| `PROD_WECHAT_MCHID` | 微信商户号 | 1234567890 |
| `PROD_WECHAT_SERIAL_NO` | 证书序列号 | 微信支付 |
| `PROD_WECHAT_APIV3_KEY` | APIv3 密钥 | 32 位字符串 |
| `PROD_WECHAT_PRIVATE_KEY` | 商户私钥 | PEM 内容 |
| `PROD_WECHAT_PAY_NOTIFY_URL` | 支付回调 | `https://api.pinzhuhui.com/...` |
| `PROD_WECHAT_REFUND_NOTIFY_URL` | 退款回调 | `https://api.pinzhuhui.com/...` |
| `PROD_ALIPAY_APPID` | 支付宝 AppID | 2021xxx |
| `PROD_ALIPAY_PRIVATE_KEY` | 支付宝私钥 | 密钥内容 |
| `PROD_API_BASE_URL` | API 地址 | `https://api.pinzhuhui.com` |
> `ENCRYPTION_KEY` 用于加解密数据库中存储的业务密钥(微信、支付宝等),务必妥善保管。
**测试环境:**
| Secret 名 | 说明 |
|-----------|------|
| `TEST_DB_PASSWORD` | 测试数据库密码 |
| `TEST_JWT_SECRET` | 测试 JWT 密钥 |
| `TEST_API_BASE_URL` | `https://api-test.pinzhuhui.com` |
> 暂时没有的配置(如微信支付、支付宝)可以先不填,流水线会使用空值默认。
业务密钥(微信、支付宝、短信等)的配置方式:平台后台 → **系统密钥** 页面。
### 第 4 步:推送代码到 Gitea
deploy/docker/docker-compose.prod.yml
+3 -18
View File
@@ -59,26 +59,11 @@ services:
DB_DATABASE: rent_platform
REDIS_HOST: redis
REDIS_PORT: 6379
# 从 .env.prod 注入的密钥
# CI 注入的基础密钥
DB_PASSWORD: ${PROD_DB_PASSWORD}
JWT_SECRET: ${PROD_JWT_SECRET}
JWT_EXPIRES_IN: ${PROD_JWT_EXPIRES_IN:-2h}
JWT_REFRESH_EXPIRES_IN: ${PROD_JWT_REFRESH_EXPIRES_IN:-7d}
SMS_ACCESS_KEY_ID: ${PROD_SMS_ACCESS_KEY_ID:-}
SMS_ACCESS_KEY_SECRET: ${PROD_SMS_ACCESS_KEY_SECRET:-}
SMS_SIGN_NAME: ${PROD_SMS_SIGN_NAME:-}
SMS_TEMPLATE_CODE: ${PROD_SMS_TEMPLATE_CODE:-}
WECHAT_APPID: ${PROD_WECHAT_APPID:-}
WECHAT_SECRET: ${PROD_WECHAT_SECRET:-}
WECHAT_MCHID: ${PROD_WECHAT_MCHID:-}
WECHAT_SERIAL_NO: ${PROD_WECHAT_SERIAL_NO:-}
WECHAT_APIV3_KEY: ${PROD_WECHAT_APIV3_KEY:-}
WECHAT_PRIVATE_KEY: ${PROD_WECHAT_PRIVATE_KEY:-}
WECHAT_PAY_NOTIFY_URL: ${PROD_WECHAT_PAY_NOTIFY_URL:-}
WECHAT_REFUND_NOTIFY_URL: ${PROD_WECHAT_REFUND_NOTIFY_URL:-}
ALIPAY_APPID: ${PROD_ALIPAY_APPID:-}
ALIPAY_PRIVATE_KEY: ${PROD_ALIPAY_PRIVATE_KEY:-}
API_BASE_URL: ${PROD_API_BASE_URL:-http://localhost:3000}
# 加密密钥(用于解密数据库中的业务密钥)
ENCRYPTION_KEY: ${ENCRYPTION_KEY}
depends_on:
mysql:
condition: service_healthy
deploy/docker/docker-compose.test.yml
+1 -1
View File
@@ -60,7 +60,7 @@ services:
REDIS_PORT: 6379
DB_PASSWORD: ${TEST_DB_PASSWORD}
JWT_SECRET: ${TEST_JWT_SECRET}
API_BASE_URL: ${TEST_API_BASE_URL:-http://localhost:3001}
ENCRYPTION_KEY: ${ENCRYPTION_KEY}
depends_on:
mysql:
condition: service_healthy