feat(recall): 新增前端直连召回 SSE 端点（LINK-40）

- 新增对外直连端点 POST /api/v1/recall/stream，前端凭 Java 签发的短期可复用
  session token 直连，绕过 Java 中转
- 独立密钥验签（aud=tolink-rag-frontend）、scope 子集校验、按用户并发限流（Redis）
- 抽取 recall_stream_runtime 供内部/直连端点共享，零回归
- 同步 http_contracts/error_codes/recall_http_api/configure 契约文档
- 新增 18 个 acceptance Scenario + 会话鉴权/Redis 原子 helper 单测

Author: jixua

.env.example

@@ -238,7 +238,24 @@ RECALL_STRICT_DEFAULT=false
 RECALL_RESULT_LIMIT=20
 RECALL_ENABLED_SOURCES=bm25,sparse,dense
 
+# ==========================================
+# 对外直连召回 SSE 配置 (Recall Direct SSE / LINK-40)
+# ==========================================
+# 前端凭 Java 签发的短期 session token 直连 POST /api/v1/recall/stream。
+# token 短期可复用（只校验 exp，不做一次性/防重放/撤销），资源滥用由并发上限封顶。
+RECALL_SESSION_AUTH_ENABLED=true
+RECALL_SESSION_JWT_ISSUER=tolink-java
+# 受众与内部端点(tolink-rag)区分，避免内部 token 误用到对外端点。
+RECALL_SESSION_JWT_AUDIENCE=tolink-rag-frontend
+RECALL_SESSION_JWT_SCOPE=recall:stream
+# 独立 HS256 密钥：与 RECALL_INTERNAL_JWT_SECRET 物理隔离，可单独轮转；生产务必替换。
+RECALL_SESSION_JWT_SECRET=your_recall_session_jwt_secret
+# 单用户最大并发召回流数（资源主闸门）。
+RECALL_SESSION_MAX_CONCURRENT=3
+
 # ==========================================
 # 杂项配置 (Misc)
 # ==========================================
+# 生产对外环境需把 CORS_ORIGINS 收敛为前端可信域名清单（不可用 "*"，与对外直连召回端点的
+# Authorization 跨域预检相关）。
 CORS_ORIGINS=http://localhost:3000,http://localhost:8080

docs/api/error_codes.md

@@ -158,7 +158,29 @@ CODE: 中文业务原因；底层详情
 EMBEDDING 配置属**必备前置缺失**，走硬失败（`RECALL_EMBEDDING_CONFIG_MISSING`）而非宽松降级——
 即便其余路可用也不返回部分结果，避免"读侧系统模型 / 写侧用户模型"向量空间不一致的误召回。
 
-## 6. Chunk Status Values
+## 6. 对外直连 Recall 错误码
+
+对外直连召回 SSE 接口 `POST /api/v1/recall/stream`（LINK-40，见
+[http_contracts.md §7](http_contracts.md#7-对外直连-recall-sseapilink-40)）。与内部端点
+区分专属错误码，便于审计区分「Java 内部调用」与「前端直连会话」。
+
+**握手前**（会话鉴权 / 参数 / scope / 限流失败）→ 非 2xx 的 `{code, message, data}` JSON：
+
+| 场景 | HTTP | code |
+| --- | --- | --- |
+| 缺失 / 验签 / iss / aud / scope / exp 失败、用内部密钥签发的 token | `401` | `RECALL_SESSION_UNAUTHORIZED` |
+| `dataset_ids` 超出 token 授权范围 | `403` | `RECALL_SCOPE_FORBIDDEN` |
+| JSON 非法 / 缺字段 / 类型错 / 出现未知字段（含 `user_id`） | `422` | `RECALL_INVALID_REQUEST` |
+| `query` 为空或纯空白 | `400` | `RECALL_INVALID_REQUEST` |
+| 单用户并发流数超过 `RECALL_SESSION_MAX_CONCURRENT` | `429` | `RECALL_RATE_LIMITED` |
+
+**握手后**（pipeline 执行期）→ SSE `error` 事件，与内部端点共享同一 runtime、语义一致：
+`RECALL_EMBEDDING_CONFIG_MISSING` / `RECALL_ALL_SOURCES_FAILED` / `RECALL_TIMEOUT` /
+`RECALL_INTERNAL_ERROR`。
+
+token **短期可复用**：有效期内重复建连均放行，无重放类错误码。
+
+## 7. Chunk Status Values
 
 | Status | 含义 |
 | --- | --- |

docs/api/http_contracts.md

@@ -239,3 +239,42 @@ data: {"code":"RECALL_ALL_SOURCES_FAILED","message":"all retrievers failed"}
 ```
 
 错误码与 HTTP 状态见 [error_codes.md](error_codes.md#5-internal-recall-错误码)。
+
+## 7. 对外直连 Recall SSE API（LINK-40）
+
+路由前缀：`/api/v1/recall`。**面向浏览器前端**：前端凭 Java 签发的**短期 session token**
+直连，绕过 Java 中转。与 §6 内部端点是**两条并存**链路（本端点是新增可选路径）。运行时
+与会话鉴权细节见 [docs/internals/recall_http_api.md](../internals/recall_http_api.md)。
+
+| Method | Path | 用途 | 鉴权 |
+| --- | --- | --- | --- |
+| `POST` | `/stream` | 前端直连多路召回，SSE 流式返回融合候选 | Header `Authorization: Bearer <session-token>` |
+
+### POST /api/v1/recall/stream
+
+前端以 fetch 流式（`ReadableStream`）建连，**不使用** `EventSource`（无法设鉴权头）。
+请求头：`Authorization: Bearer <session-token>`、`Content-Type: application/json`、可选
+`Origin`（CORS）、`X-Request-Id`。
+
+session token 由 Java 签发、Python 用**独立密钥**验签（与内部端点密钥隔离）；claims：
+`iss=tolink-java`、`aud=tolink-rag-frontend`、`scope=recall:stream`、`sub`、`dataset_ids`、
+`exp`。**token 短期可复用**（只校验 `exp`，不做一次性 / 防重放 / 撤销）。
+
+请求体（仅以下字段；出现 `user_id` / `top_k` / `sources` / `strict` / `doc_ids` 等任何未知
+字段返回 `422`）：
+
+| 字段 | 类型 | 必填 | 说明 |
+| --- | --- | --- | --- |
+| `query` | string | 是 | 用户问题，不能为空或纯空白 |
+| `dataset_ids` | list[int] | 否 | 本次查询的数据集**子集选择**，必须 ⊆ token 授权范围（超出 `403`）；省略/空 = 用 token 全量授权范围 |
+
+**身份只取 token claims**——body 不含 `user_id`，前端自报一律不信任。`top_k` / `sources` /
+`strict` 同内部端点，由服务端配置控制。
+
+并发：按 `user_id` 限并发流数（`RECALL_SESSION_MAX_CONCURRENT`），超限返回 `429`。
+
+响应、SSE 事件协议（`recall_done` / `error`）与 §6 内部端点**完全一致**（复用同一执行链）。
+错误码见 [error_codes.md](error_codes.md#6-对外直连-recall-错误码)。
+
+> CORS：本端点暴露给浏览器，生产环境必须把 `CORS_ORIGINS` 收敛为前端可信域名清单
+> （不可用 `*`）。

docs/internals/recall_http_api.md

@@ -98,3 +98,28 @@ sparse 底座含本地 BGE-M3，装配较重，必须单例。dense 底座走远
 `user_id` / `top_k` 不在装配期注入，而是执行期由 pipeline 透传给
 `Retriever.recall(query, dataset_ids, doc_ids, *, user_id, top_k)`——这是相对 LINK-6
 的契约调整（见 [recall_pipeline.md](recall_pipeline.md)），使单例化成立。
+
+## 7. 对外直连 SSE（LINK-40）
+
+内部端点（§2–§6）面向 Java、内网可信；**对外直连端点**面向浏览器前端，让前端凭 Java
+签发的短期 session token 直连、绕过 Java 中转。两条链路**并存**，召回执行复用同一实现。
+
+- 端点：`POST /api/v1/recall/stream`（[src/api/routes/recall_direct.py](../../src/api/routes/recall_direct.py)）。
+- 会话鉴权：[src/api/recall_session_auth.py](../../src/api/recall_session_auth.py) 的
+  `verify_session_token`——用**独立密钥** `RECALL_SESSION_JWT_SECRET` HS256 验签，校验
+  `aud=tolink-rag-frontend` / `iss=tolink-java` / `scope=recall:stream` / `exp`。与内部端点
+  密码学隔离，前端面 token 疑似泄露可单独轮转。
+- **token 短期可复用**：只校验 `exp`，**不做一次性 / 防重放 / 撤销**。本场景只读、不可越权
+  （只能召回本人授权范围）、且有并发上限作资源闸门，一次性收益不抵复杂度（决策见
+  `.specs/recall-direct-sse/brief.md §3.3`）。断线重连可复用未过期 token，过期后回 Java 重申。
+- 入参：body 只含 `query` + 可选 `dataset_ids`（授权范围内子集选择，`extra=forbid`）；
+  **不含 `user_id`**，身份只取 claims（`_resolve_dataset_ids` 做 ⊆ claims 校验）。
+- 并发限流：[recall_session_auth.py](../../src/api/recall_session_auth.py) 的
+  `acquire_stream_slot` / `release_stream_slot`，按 `user_id` 用 Redis `INCR/DECR` 计数，
+  上限 `RECALL_SESSION_MAX_CONCURRENT`，超限 `429 RECALL_RATE_LIMITED`。`_guarded_stream`
+  在流收尾（含断连 `CancelledError`）的 `finally` 中释放名额。握手顺序：验签 → body 校验
+  → scope → 并发 acquire → 建流。Redis 不可用时 acquire **fail-open**（限流是资源保护非鉴权）。
+- SSE 执行：与内部端点共享 [src/api/recall_stream_runtime.py](../../src/api/recall_stream_runtime.py)
+  的 `recall_event_stream`，事件协议、降级、失败终态完全一致（避免双链路漂移）。
+- CORS：复用全局 `CORSMiddleware`；对外环境必须把 `CORS_ORIGINS` 由 `*` 收敛为前端可信
+  域名清单。错误码见 [error_codes.md §6](../api/error_codes.md#6-对外直连-recall-错误码)。

docs/ops/configure.md

@@ -157,6 +157,26 @@
 | `DENSE_RETRIEVAL_TOP_K` | `10` | dense 召回 facade 直调时的兜底 top_k；pipeline 路径下被 `RECALL_RESULT_LIMIT` 覆盖 |
 | `DENSE_RETRIEVAL_SCORE_THRESHOLD` | `0.0` | dense 召回默认 score 阈值（cosine 上界 [0, 1]，0.0 = 不过滤；facade 入口校验 `> 1.0` 早死） |
 
+### 对外直连召回 SSE 配置（LINK-40）
+
+对外直连召回 SSE 接口 `POST /api/v1/recall/stream` 的配置。前端凭 Java 签发的短期
+session token 直连，**独立密钥**与内部端点隔离。详见
+[recall_http_api.md](../internals/recall_http_api.md)。
+
+| 变量 | 默认 | 说明 |
+| --- | --- | --- |
+| `RECALL_SESSION_AUTH_ENABLED` | `true` | 是否启用 session token 验签；**生产必须为 true** |
+| `RECALL_SESSION_JWT_ISSUER` | `tolink-java` | 期望的 session JWT `iss` |
+| `RECALL_SESSION_JWT_AUDIENCE` | `tolink-rag-frontend` | 期望的 session JWT `aud`（与内部端点 `tolink-rag` 区分）|
+| `RECALL_SESSION_JWT_SCOPE` | `recall:stream` | 期望的 session JWT `scope` |
+| `RECALL_SESSION_JWT_SECRET` | 本地联调占位值 | **独立** HS256 密钥，与 `RECALL_INTERNAL_JWT_SECRET` 物理隔离、可单独轮转；**生产务必覆盖** |
+| `RECALL_SESSION_MAX_CONCURRENT` | `3` | 单用户最大并发召回流数；token 短期可复用，此为资源滥用主闸门，超限返回 `429` |
+| `CORS_ORIGINS` | `["*"]` | **生产对外环境必须收敛为前端可信域名清单**（不可用 `*`，否则带 `Authorization` 头的跨域预检失败）|
+
+> token 短期可复用：Python 只校验 `exp`（建议 Java 签发 30s，仅够建连），不做一次性 /
+> 防重放 / 撤销；连上后流的存活由 `RECALL_STREAM_TIMEOUT_MS` 控制。并发计数依赖 Redis，
+> Redis 不可用时 fail-open（放行，因限流是资源保护非鉴权）。
+
 ### 远程 BGE-M3 推理服务（`remote_bge_m3` provider）
 
 `SPARSE_VECTOR_PROVIDER` 除已有 `bge_m3`（本地）/ `bge_m3_http`（早期 bge-m3-server）

src/api/internal_auth.py

@@ -32,6 +32,10 @@
 CODE_INTERNAL_ERROR = "RECALL_INTERNAL_ERROR"
 # 发起用户无默认 EMBEDDING 配置：dense 召回无法编码 query，整请求硬失败。
 CODE_EMBEDDING_CONFIG_MISSING = "RECALL_EMBEDDING_CONFIG_MISSING"
+# 对外直连 SSE（LINK-40）专属错误码：与内部端点的 RECALL_INTERNAL_* 区分，便于审计区分
+# 是「Java 内部调用」还是「前端直连会话」失败。
+CODE_SESSION_UNAUTHORIZED = "RECALL_SESSION_UNAUTHORIZED"
+CODE_RATE_LIMITED = "RECALL_RATE_LIMITED"
 
 
 class RecallApiError(Exception):

src/api/recall_session_auth.py

@@ -0,0 +1,174 @@
+"""对外直连召回 SSE（LINK-40）的会话鉴权与并发治理。
+
+外部用户态 Recall 入口归属 Java：Java 用 Sa-Token 鉴权并校验 dataset 归属后，签发
+**短期 session token**；前端凭该 token 直连 Python ``POST /api/v1/recall/stream``。
+本模块提供：
+
+- ``SessionAuthContext``：从可信 claims 解析出的请求上下文；
+- ``verify_session_token``：FastAPI 依赖，用**独立密钥**验签 + 校验 iss/aud/scope/exp；
+- ``acquire_stream_slot`` / ``release_stream_slot``：按 ``user_id`` 的并发流计数。
+
+与内部端点（``internal_auth.py``）的关键差异：面向浏览器、密钥/受众独立；token
+**短期可复用**——只校验 ``exp``，不做一次性消费 / 防重放 / 撤销，资源滥用由并发上限封顶。
+设计依据见 .specs/recall-direct-sse/{brief,technical_design}.md。
+"""
+
+from __future__ import annotations
+
+from dataclasses import dataclass
+
+import jwt
+from fastapi import Request
+from loguru import logger
+
+from src.api.internal_auth import (
+    CODE_SESSION_UNAUTHORIZED,
+    RecallApiError,
+    _request_id,
+)
+from src.cache.redis_client import redis_client
+from src.config import settings
+
+# 并发计数 key 前缀；按 user_id 分桶，跨 worker / 实例共享。
+_CONCURRENT_KEY_PREFIX = "recall:concurrent:"
+
+
+@dataclass(frozen=True)
+class SessionAuthContext:
+    """从 session token claims 解析出的可信请求上下文。
+
+    Attributes:
+        user_id: 来自 claims ``sub`` 的权威用户身份（正整数）。
+        dataset_ids: claims 授权的数据集范围；``None`` 或空表示全库授权。
+        request_id: 本次请求标识；取 ``X-Request-Id``，缺省时生成。
+    """
+
+    user_id: int
+    dataset_ids: list[int] | None
+    request_id: str
+
+
+def _extract_session_token(request: Request) -> str:
+    """从 ``Authorization: Bearer`` 提取 session token。
+
+    缺失或格式不符抛 ``RECALL_SESSION_UNAUTHORIZED``（区别于内部端点的错误码）。
+    """
+    header = request.headers.get("Authorization")
+    if not header or not header.startswith("Bearer "):
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "missing session credential")
+    token = header[len("Bearer ") :].strip()
+    if not token:
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "missing session credential")
+    return token
+
+
+def _context_from_session_claims(claims: dict, request_id: str) -> SessionAuthContext:
+    """从可信 claims 装配上下文；身份只取 claims，不信任前端自报。"""
+    raw_sub = claims.get("sub")
+    try:
+        user_id = int(raw_sub)
+    except (TypeError, ValueError):
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "invalid subject in credential")
+    if user_id <= 0:
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "invalid subject in credential")
+
+    dataset_ids = claims.get("dataset_ids")
+    if dataset_ids is not None and not isinstance(dataset_ids, list):
+        raise RecallApiError(
+            401, CODE_SESSION_UNAUTHORIZED, "invalid dataset_ids in credential"
+        )
+
+    return SessionAuthContext(
+        user_id=user_id, dataset_ids=dataset_ids, request_id=request_id
+    )
+
+
+async def verify_session_token(request: Request) -> SessionAuthContext:
+    """FastAPI 依赖：校验 Java 签发的 session token，产出 ``SessionAuthContext``。
+
+    校验链（任一失败 → ``RecallApiError(401, RECALL_SESSION_UNAUTHORIZED)``）：
+    Bearer token → HS256 验签（**独立 session 密钥**）+ iss/aud/exp（PyJWT 内置）
+    → scope（手动）→ sub→user_id。token 短期可复用，无一次性消费步骤——有效期内重复
+    建连均放行（断线重连可复用未过期 token）。
+
+    ``RECALL_SESSION_AUTH_ENABLED=False`` 仅本地联调：跳过验签但仍解析 claims 取身份；
+    生产恒开启。
+    """
+    request_id = _request_id(request)
+    token = _extract_session_token(request)
+
+    if not settings.RECALL_SESSION_AUTH_ENABLED:
+        # 本地联调：不验签，仅解析 claims 取身份。生产恒开启，不会走到这里。
+        logger.warning(
+            "[recall-session] auth disabled; skipping JWT verification request_id={}",
+            request_id,
+        )
+        claims = jwt.decode(token, options={"verify_signature": False})
+        return _context_from_session_claims(claims, request_id)
+
+    try:
+        claims = jwt.decode(
+            token,
+            settings.RECALL_SESSION_JWT_SECRET,
+            algorithms=["HS256"],
+            audience=settings.RECALL_SESSION_JWT_AUDIENCE,
+            issuer=settings.RECALL_SESSION_JWT_ISSUER,
+            options={"require": ["exp"]},
+        )
+    except jwt.PyJWTError as exc:
+        logger.info("[recall-session] JWT rejected request_id={}: {}", request_id, exc)
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "invalid or expired credential")
+
+    if claims.get("scope") != settings.RECALL_SESSION_JWT_SCOPE:
+        raise RecallApiError(401, CODE_SESSION_UNAUTHORIZED, "credential scope not permitted")
+
+    return _context_from_session_claims(claims, request_id)
+
+
+def _concurrent_key(user_id: int) -> str:
+    return f"{_CONCURRENT_KEY_PREFIX}{user_id}"
+
+
+async def acquire_stream_slot(user_id: int) -> bool:
+    """占用一个并发流名额；返回是否成功（False → 调用方应回 429）。
+
+    INCR 先占位再判断，保证多 worker 下不超卖；超过上限则 DECR 回退。key 设
+    ``2×stream_timeout`` 安全 TTL，兜底进程异常退出未 release 造成的名额泄漏。
+
+    Redis 不可用时 **fail-open**（放行 + 告警）：去一次性后 Redis 仅做资源保护、不再
+    承载安全语义，短暂失去并发限流好于阻断全部召回。
+    """
+    key = _concurrent_key(user_id)
+    safety_ttl = max(1, settings.RECALL_STREAM_TIMEOUT_MS // 1000 * 2)
+    try:
+        count = await redis_client.incr(key)
+        await redis_client.expire(key, safety_ttl)
+    except Exception:  # noqa: BLE001 - Redis 故障不阻断召回，fail-open
+        logger.warning(
+            "[recall-session] redis unavailable on acquire, fail-open user_id={}", user_id
+        )
+        return True
+
+    if count > settings.RECALL_SESSION_MAX_CONCURRENT:
+        # 超卖，回退占位并拒绝。
+        try:
+            await redis_client.decr(key)
+        except Exception:  # noqa: BLE001 - 回退失败由 TTL 兜底
+            logger.warning("[recall-session] redis decr failed on rollback user_id={}", user_id)
+        return False
+    return True
+
+
+async def release_stream_slot(user_id: int) -> None:
+    """释放一个并发流名额；在流结束 / 断连的 finally 中调用。
+
+    DECR 后若计数为负（异常路径下的重复释放），重置回 0，避免计数漂移把后续请求误放行。
+    Redis 故障静默忽略，由 key 的安全 TTL 兜底回收。
+    """
+    key = _concurrent_key(user_id)
+    try:
+        remaining = await redis_client.decr(key)
+        if remaining < 0:
+            await redis_client.set(key, "0")
+    except Exception:  # noqa: BLE001 - 释放失败由 TTL 兜底，不影响主流程
+        logger.warning("[recall-session] redis unavailable on release user_id={}", user_id)