feat(deploy): interactive deploy script with remote bootstrap and bind-host selection

- deploy.sh: add 6-step wizard (port / bind / db / secrets / build / confirm)
  with auto-bootstrap that clones the repo when launched via
  `bash <(curl ...)` and reads input from /dev/tty for piped invocation
- deploy.sh: print full admin secret and detect LAN/public IPs after deploy
- compose: bind ports through ${BIND_HOST:-0.0.0.0} so 127.0.0.1 mode keeps
  the service off external interfaces
- README: document one-line remote install and bind-host options

Author: james-6-23

README.md

@@ -54,6 +54,7 @@ Codex2API 是一个基于 **Go + Gin + React/Vite** 的 Codex 反向代理与管
 - [在线 Demo](#在线-demo)
 - [界面预览](#界面预览)
 - [快速部署](#快速部署)
+  - [一键交互部署 (推荐)](#一键交互部署-推荐)
 - [完整文档](#完整文档)
 - [升级与本地开发](#升级与本地开发)
 - [环境配置](#环境配置)
@@ -73,6 +74,43 @@ Codex2API 是一个基于 **Go + Gin + React/Vite** 的 Codex 反向代理与管
 
 > 详细部署指南请参考：[DEPLOYMENT.md](docs/DEPLOYMENT.md)
 
+### 一键交互部署 (推荐)
+
+`deploy.sh` 提供 6 步交互式向导，依次询问 **端口 / 监听范围 / 数据库 / 密钥 / 构建方式 / 确认**，自动生成 `.env` 并拉起容器。
+
+**场景 1：尚未克隆仓库（一行远程拉起）**
+
+```bash
+bash <(curl -sSL https://raw.githubusercontent.com/james-6-23/codex2api/main/deploy.sh)
+```
+
+脚本会自动检测当前目录是否是 `codex2api` 仓库，若不是则克隆到 `./codex2api`，进入目录后再执行部署。
+
+**场景 2：已经 `git clone` 到本地**
+
+```bash
+git clone https://github.com/james-6-23/codex2api.git
+cd codex2api
+bash deploy.sh
+```
+
+**监听范围选项**
+
+| 选项 | 绑定地址 | 适用场景 |
+| --- | --- | --- |
+| 1) 仅本机访问 | `127.0.0.1` | 服务放在 nginx / Caddy 等反向代理后端，外网无法直接访问端口 |
+| 2) 全部网络 (默认) | `0.0.0.0` | 直接通过服务器 IP 对外暴露，部署完成后会展示本机 / 内网 / 公网地址 |
+
+绑定地址会写入 `.env` 的 `BIND_HOST`，后续可手动修改后 `docker compose up -d` 重启生效。
+
+**可选环境变量**（用于自定义自举行为）
+
+| 变量 | 默认 | 说明 |
+| --- | --- | --- |
+| `CODEX2API_REPO_URL` | `https://github.com/james-6-23/codex2api.git` | 克隆使用的仓库地址 |
+| `CODEX2API_REPO_BRANCH` | `main` | 克隆使用的分支 |
+| `CODEX2API_DIR_NAME` | `codex2api` | 克隆到本地的目录名 |
+
 ### 部署模式总览
 
 | 模式 | 文件 | 适用场景 |

deploy.sh

@@ -36,6 +36,12 @@ EOF
   echo ""
 }
 
+# 输入源：兼容 `bash <(curl ...)` / 管道执行场景，强制从终端读取
+_INPUT_FD="/dev/tty"
+if [[ ! -r "$_INPUT_FD" ]]; then
+  _INPUT_FD="/dev/stdin"
+fi
+
 # 读取用户输入，支持默认值
 ask() {
   local prompt="$1" default="$2" varname="$3"
@@ -44,7 +50,7 @@ ask() {
   else
     printf "${BOLD}%s${NC}: " "$prompt"
   fi
-  read -r input
+  read -r input < "$_INPUT_FD"
   eval "$varname=\"${input:-$default}\""
 }
 
@@ -56,7 +62,7 @@ ask_secret() {
   else
     printf "${BOLD}%s${NC} (留空则自动生成): " "$prompt"
   fi
-  read -rs input
+  read -rs input < "$_INPUT_FD"
   echo ""
   eval "$varname=\"${input:-$default}\""
 }
@@ -72,6 +78,61 @@ gen_secret() {
   fi
 }
 
+# ---------- 自举：确保位于 codex2api 仓库目录 ----------
+# 触发条件:
+#   1) 通过 `bash <(curl ...)` 远程拉起 (BASH_SOURCE 不是真实文件)
+#   2) 或当前目录缺少必要的 compose / deploy.sh 文件
+# 行为:
+#   - 若已在仓库目录: 直接返回
+#   - 否则: clone 仓库到 ./codex2api，切入并 exec ./deploy.sh
+REPO_URL="${CODEX2API_REPO_URL:-https://github.com/james-6-23/codex2api.git}"
+REPO_BRANCH="${CODEX2API_REPO_BRANCH:-main}"
+REPO_DIR_NAME="${CODEX2API_DIR_NAME:-codex2api}"
+
+is_codex2api_repo() {
+  [[ -f "docker-compose.yml" ]] && [[ -f "deploy.sh" ]] \
+    && grep -q '^name: codex2api' docker-compose.yml 2>/dev/null
+}
+
+bootstrap_repo() {
+  # 已经在仓库目录里：什么都不做
+  if is_codex2api_repo; then
+    success "检测到当前目录为 codex2api 仓库"
+    return 0
+  fi
+
+  warn "当前目录不是 codex2api 仓库，进入自动拉取流程"
+
+  if ! command -v git >/dev/null 2>&1; then
+    error "未找到 git，请先安装 git 后重试"
+  fi
+
+  # 如果同名目录已存在且是仓库，直接复用
+  if [[ -d "$REPO_DIR_NAME/.git" ]]; then
+    info "发现已有目录 $REPO_DIR_NAME，尝试更新到最新代码..."
+    (cd "$REPO_DIR_NAME" && git fetch --depth=1 origin "$REPO_BRANCH" && git reset --hard "origin/$REPO_BRANCH") \
+      || warn "拉取更新失败，将沿用已有代码继续部署"
+  elif [[ -e "$REPO_DIR_NAME" ]]; then
+    error "目录 $REPO_DIR_NAME 已存在但不是 git 仓库，请手动处理后重试"
+  else
+    info "克隆仓库: $REPO_URL ($REPO_BRANCH) → ./$REPO_DIR_NAME"
+    git clone --depth=1 --branch "$REPO_BRANCH" "$REPO_URL" "$REPO_DIR_NAME" \
+      || error "git clone 失败，请检查网络或仓库地址"
+  fi
+
+  cd "$REPO_DIR_NAME" || error "无法进入 $REPO_DIR_NAME 目录"
+
+  if ! is_codex2api_repo; then
+    error "克隆后仍未识别为 codex2api 仓库，请手动检查"
+  fi
+
+  success "已切换到 $(pwd)"
+  info "重新运行 ./deploy.sh 完成部署..."
+  echo ""
+  # exec 掉本进程，避免远程脚本/旧上下文继续运行
+  exec bash ./deploy.sh "$@"
+}
+
 # ---------- 前置检查 ----------
 preflight() {
   info "检查运行环境..."
@@ -94,7 +155,7 @@ preflight() {
 # ---------- 第一步：端口 ----------
 step_port() {
   echo ""
-  printf "${BOLD}${CYAN}━━━ 1/5 服务端口 ━━━${NC}\n"
+  printf "${BOLD}${CYAN}━━━ 1/6 服务端口 ━━━${NC}\n"
   ask "服务监听端口" "8080" PORT
 
   if ! [[ "$PORT" =~ ^[0-9]+$ ]] || (( PORT < 1 || PORT > 65535 )); then
@@ -103,10 +164,37 @@ step_port() {
   success "端口: $PORT"
 }
 
-# ---------- 第二步：数据库模式 ----------
+# ---------- 第二步：监听范围 ----------
+step_bind() {
+  echo ""
+  printf "${BOLD}${CYAN}━━━ 2/6 监听范围 ━━━${NC}\n"
+  echo ""
+  echo "  1) 仅本机访问  — 绑定 127.0.0.1，外部无法访问 (内网/反向代理后端推荐)"
+  echo "  2) 全部网络    — 绑定 0.0.0.0，可通过内网/公网 IP 访问 (默认)"
+  echo ""
+  ask "请选择 (1 或 2)" "2" BIND_CHOICE
+
+  case "$BIND_CHOICE" in
+    1|local|loopback|127*)
+      BIND_HOST="127.0.0.1"
+      BIND_MODE="loopback"
+      success "监听范围: 仅本机 (127.0.0.1)"
+      ;;
+    2|all|public|0*)
+      BIND_HOST="0.0.0.0"
+      BIND_MODE="all"
+      success "监听范围: 全部网络 (0.0.0.0)"
+      ;;
+    *)
+      error "无效选择: $BIND_CHOICE"
+      ;;
+  esac
+}
+
+# ---------- 第三步：数据库模式 ----------
 step_database() {
   echo ""
-  printf "${BOLD}${CYAN}━━━ 2/5 数据库模式 ━━━${NC}\n"
+  printf "${BOLD}${CYAN}━━━ 3/6 数据库模式 ━━━${NC}\n"
   echo ""
   echo "  1) SQLite   — 轻量单文件，适合个人 / 测试"
   echo "  2) PG+Redis — PostgreSQL + Redis，适合生产 / 多并发"
@@ -151,10 +239,10 @@ step_pg_config() {
   ask_secret "Redis 密码 (留空则无密码)" "" REDIS_PASS
 }
 
-# ---------- 第三步：密钥 ----------
+# ---------- 第四步：密钥 ----------
 step_secrets() {
   echo ""
-  printf "${BOLD}${CYAN}━━━ 3/5 安全密钥 ━━━${NC}\n"
+  printf "${BOLD}${CYAN}━━━ 4/6 安全密钥 ━━━${NC}\n"
   echo ""
 
   ask_secret "管理后台密钥 (ADMIN_SECRET)" "" ADMIN_SECRET
@@ -167,10 +255,10 @@ step_secrets() {
   ask "下游 API 密钥 (CODEX_API_KEYS, 多个用逗号分隔, 留空不启用)" "" API_KEYS
 }
 
-# ---------- 第四步：构建方式 ----------
+# ---------- 第五步：构建方式 ----------
 step_build_mode() {
   echo ""
-  printf "${BOLD}${CYAN}━━━ 4/5 构建方式 ━━━${NC}\n"
+  printf "${BOLD}${CYAN}━━━ 5/6 构建方式 ━━━${NC}\n"
   echo ""
   echo "  1) 拉取镜像 — 使用预构建镜像 (ghcr.io)，部署快"
   echo "  2) 本地构建 — 从源码编译，适合自定义修改"
@@ -192,12 +280,17 @@ step_build_mode() {
   esac
 }
 
-# ---------- 第五步：确认 ----------
+# ---------- 第六步：确认 ----------
 step_confirm() {
   echo ""
-  printf "${BOLD}${CYAN}━━━ 5/5 配置确认 ━━━${NC}\n"
+  printf "${BOLD}${CYAN}━━━ 6/6 配置确认 ━━━${NC}\n"
   echo ""
   echo "  端口:       $PORT"
+  if [[ "$BIND_MODE" == "loopback" ]]; then
+    echo "  监听范围:   127.0.0.1 (仅本机访问)"
+  else
+    echo "  监听范围:   0.0.0.0 (全部网络)"
+  fi
   echo "  数据库:     $DB_MODE"
   if [[ "$DB_MODE" == "sqlite" ]]; then
     echo "  数据路径:   $SQLITE_PATH"
@@ -208,7 +301,7 @@ step_confirm() {
     echo "  Redis:      内置容器"
   fi
   echo "  构建方式:   $( [[ "$BUILD_MODE" == "image" ]] && echo "拉取镜像" || echo "本地构建" )"
-  echo "  管理密钥:   ${ADMIN_SECRET:0:6}******"
+  echo "  管理密钥:   ${ADMIN_SECRET}"
   if [[ -n "${API_KEYS:-}" ]]; then
     echo "  API 密钥:   已设置"
   else
@@ -242,6 +335,9 @@ generate_env() {
 # 服务端口
 CODEX_PORT=${PORT}
 
+# 端口绑定地址 (127.0.0.1=仅本机, 0.0.0.0=全部网络)
+BIND_HOST=${BIND_HOST}
+
 # 管理后台密钥
 ADMIN_SECRET=${ADMIN_SECRET}
 
@@ -265,6 +361,9 @@ EOF
 # 服务端口
 CODEX_PORT=${PORT}
 
+# 端口绑定地址 (127.0.0.1=仅本机, 0.0.0.0=全部网络)
+BIND_HOST=${BIND_HOST}
+
 # 管理后台密钥
 ADMIN_SECRET=${ADMIN_SECRET}
 
@@ -341,24 +440,73 @@ deploy() {
   echo ""
   success "部署完成!"
   echo ""
+
+  local PUBLIC_IP="" LAN_IP=""
+
+  if [[ "$BIND_MODE" == "all" ]]; then
+    # 仅在对外开放时才探测/展示对外 IP
+    PUBLIC_IP=$(curl -fsS4 --max-time 3 https://ifconfig.me 2>/dev/null \
+      || curl -fsS4 --max-time 3 https://api.ipify.org 2>/dev/null \
+      || curl -fsS4 --max-time 3 https://ipinfo.io/ip 2>/dev/null \
+      || true)
+    PUBLIC_IP=$(echo "$PUBLIC_IP" | tr -d '[:space:]')
+
+    if command -v hostname >/dev/null 2>&1; then
+      LAN_IP=$(hostname -I 2>/dev/null | awk '{print $1}' || true)
+    fi
+    if [[ -z "$LAN_IP" ]] && command -v ip >/dev/null 2>&1; then
+      LAN_IP=$(ip -4 route get 1.1.1.1 2>/dev/null | awk '{for(i=1;i<=NF;i++) if($i=="src"){print $(i+1); exit}}')
+    fi
+    if [[ -z "$LAN_IP" ]] && command -v ifconfig >/dev/null 2>&1; then
+      LAN_IP=$(ifconfig 2>/dev/null | awk '/inet /{print $2}' | grep -v '^127\.' | head -n1)
+    fi
+  fi
+
   echo "  ┌──────────────────────────────────────────┐"
-  echo "  │                                          │"
-  echo "  │  服务地址: http://localhost:${PORT}          "
-  echo "  │  管理后台: http://localhost:${PORT}/admin    "
-  echo "  │  管理密钥: ${ADMIN_SECRET:0:6}******        "
-  echo "  │                                          │"
-  echo "  │  查看日志: $COMPOSE_CMD -f $COMPOSE_FILE logs -f"
-  echo "  │  停止服务: $COMPOSE_CMD -f $COMPOSE_FILE down"
-  echo "  │                                          │"
+  echo "  │  部署信息                                  │"
   echo "  └──────────────────────────────────────────┘"
   echo ""
+  if [[ "$BIND_MODE" == "loopback" ]]; then
+    echo "  监听范围 : 127.0.0.1 (仅本机访问)"
+    echo ""
+    echo "  本地访问 : http://127.0.0.1:${PORT}"
+    echo "             http://127.0.0.1:${PORT}/admin"
+  else
+    echo "  监听范围 : 0.0.0.0 (全部网络)"
+    echo ""
+    echo "  本地访问 : http://localhost:${PORT}"
+    echo "             http://localhost:${PORT}/admin"
+    if [[ -n "$LAN_IP" ]]; then
+      echo "  内网访问 : http://${LAN_IP}:${PORT}"
+      echo "             http://${LAN_IP}:${PORT}/admin"
+    fi
+    if [[ -n "$PUBLIC_IP" ]]; then
+      echo "  公网访问 : http://${PUBLIC_IP}:${PORT}"
+      echo "             http://${PUBLIC_IP}:${PORT}/admin"
+    fi
+  fi
+  echo ""
+  echo "  管理密钥 : ${ADMIN_SECRET}"
+  echo ""
+  echo "  查看日志 : $COMPOSE_CMD -f $COMPOSE_FILE logs -f"
+  echo "  停止服务 : $COMPOSE_CMD -f $COMPOSE_FILE down"
+  echo ""
+  if [[ "$BIND_MODE" == "all" && -n "$PUBLIC_IP" ]]; then
+    warn "服务对外开放，请确认防火墙/安全组已放行 ${PORT} 端口"
+  fi
+  if [[ "$BIND_MODE" == "loopback" ]]; then
+    info "如需对外暴露，可重新运行 deploy.sh 选择「全部网络」，或在 .env 中将 BIND_HOST 改为 0.0.0.0"
+  fi
+  echo ""
 }
 
 # ---------- 主流程 ----------
 main() {
   banner
+  bootstrap_repo "$@"
   preflight
   step_port
+  step_bind
   step_database
   step_secrets
   step_build_mode

docker-compose.local.yml

@@ -5,7 +5,7 @@ services:
     build: .
     container_name: codex2api
     ports:
-      - "${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
+      - "${BIND_HOST:-0.0.0.0}:${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
     env_file:
       - .env
     volumes:

docker-compose.sqlite.local.yml

@@ -5,7 +5,7 @@ services:
     build: .
     container_name: codex2api-sqlite-local
     ports:
-      - "${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
+      - "${BIND_HOST:-0.0.0.0}:${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
     env_file:
       - .env
     volumes:

docker-compose.sqlite.yml

@@ -5,7 +5,7 @@ services:
     image: ghcr.io/james-6-23/codex2api:latest
     container_name: codex2api-sqlite
     ports:
-      - "${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
+      - "${BIND_HOST:-0.0.0.0}:${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
     env_file:
       - .env
     volumes:

docker-compose.yml

@@ -5,7 +5,7 @@ services:
     image: ghcr.io/james-6-23/codex2api:latest
     container_name: codex2api
     ports:
-      - "${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
+      - "${BIND_HOST:-0.0.0.0}:${CODEX_PORT:-8080}:${CODEX_PORT:-8080}"
     env_file:
       - .env
     volumes: