feat: 更新 JWT 认证逻辑，添加 refresh token 支持；优化用户登录和登出处理；调整跨域配置

Author: ExquisiteCore

backend/config.toml

@@ -11,18 +11,29 @@ max_connections = 5
 # JWT配置
 [jwt]
 secret = "your_secret_key_change_this_in_production"
-expiration = 1140                                    # 过期时间（分钟）
+expiration = 15                                          # access token 过期时间（分钟）
+refresh_secret = "your_refresh_secret_key_change_this"   # refresh token 签名密钥
+refresh_expiration = 10080                               # refresh token 过期时间（分钟）= 7天
 
 #跨域配置
 [cors]
-allowed_origins = ["http://localhost:4321", "https://blog.exquisitecore.xyz"]
+allowed_origins = ["http://localhost:3000", "https://blog.exquisitecore.xyz"]
 allowed_methods = ["GET", "POST", "PUT", "DELETE", "OPTIONS"]
 allowed_headers = ["Authorization", "Content-Type"]
 allow_credentials = true
 
 # 微信公众号配置
 [wechat]
-app_id = "your_app_id"
-app_secret = "your_app_secret"
-token = "your_token"
-# encoding_aes_key = "your_encoding_aes_key"  # 可选，用于消息加解密
+app_id = ""
+app_secret = ""
+token = ""
+# encoding_aes_key = ""
+
+# LLM 配置（硅基流动 SiliconFlow）
+[llm]
+provider = "siliconflow"
+api_key = "your_siliconflow_api_key_here"  # 替换为你的硅基流动 API Key
+base_url = "https://api.siliconflow.cn"    # 硅基流动 API 地址
+model = "deepseek-ai/DeepSeek-V3"          # 或 deepseek-ai/DeepSeek-R1
+max_tokens = 300                            # 限制回复长度，加快响应
+timeout_secs = 10                           # HTTP 超时（代码层面有4秒微信超时保护）

backend/src/api/mod.rs

@@ -23,6 +23,7 @@ pub fn create_routes() -> Router<AppState> {
         .route("/users/register", post(userapi::register_user))
         .route("/users/login", post(userapi::login_user))
         .route("/auth/refresh", post(auth::refresh_token_handler))
+        .route("/auth/logout", post(auth::logout_handler))
         .route("/posts", get(postapi::get_posts))
         .route("/posts/{id}", get(postapi::get_post_by_id))
         .route("/posts/{id}/labels", get(postapi::get_post_labels))

backend/src/api/userapi.rs

@@ -2,6 +2,8 @@
 //!
 //! 提供用户相关的API端点
 
+use axum::http::header::SET_COOKIE;
+use axum::response::{IntoResponse, Response};
 use axum::{Json, extract::{Path, State}};
 use bcrypt::{DEFAULT_COST, hash};
 use uuid::Uuid;
@@ -105,21 +107,33 @@ pub async fn register_user(
 /// 用户登录API
 ///
 /// 验证用户凭据并生成JWT令牌
+/// 返回 access token 在 JSON body，refresh token 在 Set-Cookie
 pub async fn login_user(
     State(state): State<crate::state::AppState>,
     Json(req): Json<LoginRequest>,
-) -> Result<Json<serde_json::Value>, AppError> {
+) -> Result<Response, AppError> {
     // 尝试登录用户
     match User::login(&state.pool, req).await {
         Ok(Some(user)) => {
-            // 生成JWT令牌
-            let token = auth::generate_token(&user)?;
+            // 生成 access token（短期）
+            let access_token = auth::generate_token(&user)?;
+            // 生成 refresh token（长期）
+            let refresh_token = auth::generate_refresh_token(&user)?;
 
-            // 返回用户信息和令牌
-            Ok(Json(serde_json::json!({
+            // 构建响应 body
+            let body = serde_json::json!({
                 "user": user,
-                "token": token
-            })))
+                "token": access_token
+            });
+
+            // 构建响应，设置 refresh token 到 cookie
+            let mut response = Json(body).into_response();
+            response.headers_mut().insert(
+                SET_COOKIE,
+                auth::build_refresh_cookie(&refresh_token).parse().unwrap(),
+            );
+
+            Ok(response)
         }
         Ok(None) => Err(AppError::new_message(
             "用户名/邮箱或密码错误",

backend/src/api/wechatapi.rs

@@ -11,7 +11,9 @@ use axum::{
 use serde::{Deserialize, Serialize};
 use std::collections::HashMap;
 use std::sync::Arc;
-use tracing::{error, info};
+use std::time::Duration;
+use tokio::time::timeout;
+use tracing::{error, info, warn};
 use wechat_oa_sdk::{
     WeChatClient,
     api::message::IncomingMessage,
@@ -201,14 +203,19 @@ async fn handle_message(message: IncomingMessage, llm_client: Option<&Arc<LlmCli
                     "对话历史已清除！".to_string()
                 }
                 _ => {
-                    // 使用 LLM 回复
+                    // 使用 LLM 回复（4秒超时，微信要求5秒内响应）
                     if let Some(client) = llm_client {
-                        match client.chat(&msg.from_user_name, &msg.content).await {
-                            Ok(response) => response,
-                            Err(e) => {
+                        let llm_timeout = Duration::from_secs(4);
+                        match timeout(llm_timeout, client.chat(&msg.from_user_name, &msg.content)).await {
+                            Ok(Ok(response)) => response,
+                            Ok(Err(e)) => {
                                 error!("LLM 调用失败: {}", e);
                                 format!("抱歉，AI 服务暂时不可用：{}", e)
                             }
+                            Err(_) => {
+                                warn!("LLM 调用超时 for user {}", msg.from_user_name);
+                                "AI 正在思考中，请稍后再试...".to_string()
+                            }
                         }
                     } else {
                         // 没有配置 LLM，使用简单回复

backend/src/config.rs

@@ -64,7 +64,9 @@ pub struct DatabaseConfig {
 #[derive(Debug, Serialize, Deserialize, Clone)]
 pub struct JwtConfig {
     pub secret: String,
-    pub expiration: u64, // 过期时间（分钟）
+    pub expiration: u64, // access token 过期时间（分钟）
+    pub refresh_secret: String,
+    pub refresh_expiration: u64, // refresh token 过期时间（分钟）
 }
 
 #[derive(Debug, Serialize, Deserialize, Clone)]
@@ -103,7 +105,9 @@ impl Default for Config {
             },
             jwt: JwtConfig {
                 secret: "default_secret_key_change_in_production".to_string(),
-                expiration: 60, // 60分钟
+                expiration: 15, // 15分钟
+                refresh_secret: "default_refresh_secret_change_in_production".to_string(),
+                refresh_expiration: 10080, // 7天
             },
             cors: CorsConfig {
                 allowed_origins: vec!["http://localhost:4321".to_string()],