@dichvuright/mcp-hosting-server 1.0.0

package/README.md

@@ -0,0 +1,120 @@
+# DichVuRight Admin MCP Server
+
+Kết nối AI Agent (Claude, Cursor, Antigravity...) vào hệ thống quản trị DichVuRight.
+
+## Kiến trúc bảo mật
+
+```
+AI Agent
+   |
+MCP Server (chỉ có: API_URL + API_KEY + API_SECRET)
+   |
+POST /api/mcp/tools/call  ← HMAC-SHA256 signed
+   |
+Next.js API (verify HMAC + scope mcp:admin)
+   |
+MongoDB / Redis  ← MCP không bao giờ kết nối thẳng vào đây
+```
+
+**MCP server không bao giờ biết:** JWT_SECRET, MongoDB URI, Redis password.
+
+## Cài đặt
+
+```bash
+cd D:/nextjs/hosting/mcp
+npm install
+```
+
+## Tạo API Key
+
+1. Vào **Admin → API Keys** (hoặc trang quản lý ApiClient)
+2. Tạo key mới với scope **`mcp:admin`**
+3. Copy `API Key` và `Secret`
+
+## Cấu hình
+
+Điền vào `mcp/.env`:
+
+```env
+MCP_API_URL=http://localhost:3000
+MCP_API_KEY=mc_xxxxxxxxxxxx
+MCP_API_SECRET=sk_xxxxxxxxxxxx
+```
+
+Chỉ 3 biến. Không có secret nào của hệ thống ở đây.
+
+## Kết nối Antigravity / Cursor / Cline
+
+```json
+{
+  "mcpServers": {
+    "dichvuright": {
+      "command": "npx",
+      "args": ["tsx", "D:/nextjs/hosting/mcp/server.ts"],
+      "cwd": "D:/nextjs/hosting/mcp"
+    }
+  }
+}
+```
+
+## Kết nối Claude Desktop
+
+Mở `%APPDATA%\Claude\claude_desktop_config.json`:
+
+```json
+{
+  "mcpServers": {
+    "dichvuright": {
+      "command": "npx",
+      "args": ["tsx", "D:/nextjs/hosting/mcp/server.ts"],
+      "cwd": "D:/nextjs/hosting/mcp"
+    }
+  }
+}
+```
+
+## Test thủ công
+
+```bash
+cd D:/nextjs/hosting/mcp
+npm run dev
+# Output: [MCP] DichVuRight Admin MCP Server v2.0 started
+# Output: [MCP] API endpoint: http://localhost:3000/api/mcp/tools/call
+# Output: [MCP] Tools registered: 28
+```
+
+## Tools (28 tools)
+
+| Group | Tools |
+|-------|-------|
+| 🏥 Health (5) | health_check_all, health_check_mongodb, health_check_redis, health_check_suppliers, get_stuck_tasks |
+| 📋 Logs (5) | query_logs*, get_error_summary, detect_suspicious_ips*, get_critical_events, get_admin_activity_digest |
+| 🔔 Alerts (3) | send_alert✏️, get_alert_history, silence_alert✏️ |
+| 📊 Dashboard (5) | get_revenue_stats, get_user_stats, get_service_utilization, get_ticket_stats, get_payment_health |
+| 👤 Users (6) | find_user, get_user_profile, get_user_transactions, get_user_security_events, get_user_services, flag_user_for_review✏️ |
+| 🎫 Tickets (4) | list_open_tickets, get_ticket_summary, get_overdue_tickets, get_ticket_stats |
+
+`*` Heavy query: giới hạn 10 req/min
+`✏️` Write op: tạo audit log
+
+## Bảo mật
+
+- **PII masking**: email, phone, name, IP tự động masked trước khi trả về AI
+- **Không expose**: password hash, CCCD data, encrypted secrets
+- **Rate limit**: 100 req/min (normal), 10 req/min (heavy queries)
+- **Audit trail**: mọi tool call ghi vào MongoDB logs
+- **Revoke ngay**: vào Admin → API Keys → Revoke nếu bị lộ key
+
+## Troubleshooting
+
+**"MCP_API_KEY và MCP_API_SECRET là bắt buộc"**  
+→ Kiểm tra file `mcp/.env`
+
+**"Invalid API key" hoặc "Insufficient scope"**  
+→ API key chưa có scope `mcp:admin`, hoặc key bị revoke
+
+**"Request expired"**  
+→ Đồng hồ máy lệch >5 phút, sync lại NTP
+
+**Tools không xuất hiện trong IDE**  
+→ Kiểm tra `cwd` trỏ đúng `D:/nextjs/hosting/mcp`, restart IDE

package/dist/server.js

@@ -0,0 +1,217 @@
+import "dotenv/config";
+import crypto from "crypto";
+import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js";
+import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";
+import { z } from "zod";
+const API_URL = process.env.MCP_API_URL ?? "http://localhost:3000";
+const API_KEY = process.env.MCP_API_KEY ?? "";
+const API_SECRET = process.env.MCP_API_SECRET ?? "";
+if (!API_KEY || !API_SECRET) {
+    console.error("[MCP] ERROR: MCP_API_KEY và MCP_API_SECRET là bắt buộc");
+    console.error("[MCP] Tạo API key trong Admin → API Keys với scope 'mcp:admin'");
+    process.exit(1);
+}
+// ── HMAC call helper ───────────────────────────────────────────────────────
+async function callApi(tool, args) {
+    const body = JSON.stringify({ tool, args });
+    const timestamp = String(Math.floor(Date.now() / 1000));
+    const requestId = crypto.randomUUID();
+    const path = "/api/mcp/tools/call";
+    const message = ["POST", path, body, timestamp, requestId].join("\n");
+    const signature = crypto.createHmac("sha256", API_SECRET).update(message).digest("hex");
+    const resp = await fetch(`${API_URL}${path}`, {
+        method: "POST",
+        headers: {
+            "Content-Type": "application/json",
+            "X-Api-Key": API_KEY,
+            "X-Timestamp": timestamp,
+            "X-Request-Id": requestId,
+            "X-Signature": signature,
+        },
+        body,
+    });
+    const json = (await resp.json());
+    if (!resp.ok || json.status === "error") {
+        throw new Error(json.message ?? `API error ${resp.status}`);
+    }
+    return json.data?.result ?? json.data;
+}
+function text(result) {
+    return [{ type: "text", text: JSON.stringify(result, null, 2) }];
+}
+// ── Server ─────────────────────────────────────────────────────────────────
+const server = new McpServer({ name: "dichvuright-admin", version: "2.0.0" });
+// ── Health ─────────────────────────────────────────────────────────────────
+server.registerTool("health_check_all", {
+    description: "Kiểm tra tổng quan hệ thống: MongoDB, Redis, task bị kẹt, WHM servers, VPS suppliers.",
+}, async () => ({ content: text(await callApi("health_check_all", {})) }));
+server.registerTool("health_check_mongodb", {
+    description: "Kiểm tra MongoDB: latency, connection state, số task theo trạng thái.",
+}, async () => ({ content: text(await callApi("health_check_mongodb", {})) }));
+server.registerTool("health_check_redis", {
+    description: "Kiểm tra Redis: memory, connected clients, hit rate, eviction policy.",
+}, async () => ({ content: text(await callApi("health_check_redis", {})) }));
+server.registerTool("health_check_suppliers", {
+    description: "Số WHM servers và VPS suppliers theo trạng thái active/inactive.",
+}, async () => ({ content: text(await callApi("health_check_suppliers", {})) }));
+server.registerTool("get_stuck_tasks", {
+    description: "Tasks đang running (status=2) quá 30 phút — có thể bị stuck.",
+}, async () => ({ content: text(await callApi("get_stuck_tasks", {})) }));
+// ── Logs ───────────────────────────────────────────────────────────────────
+server.registerTool("query_logs", {
+    description: "Query audit logs với filter. ⚠️ Heavy query (10 req/min).",
+    inputSchema: {
+        severity: z.enum(["info", "warn", "error", "critical"]).optional().describe("Lọc theo mức độ"),
+        module: z.string().optional().describe("Lọc theo module (auth, user, vps, ...)"),
+        hours: z.number().optional().describe("Bao nhiêu giờ gần đây (mặc định 24)"),
+        limit: z.number().optional().describe("Số kết quả tối đa (mặc định 50, tối đa 200)"),
+    },
+}, async (args) => ({ content: text(await callApi("query_logs", args)) }));
+server.registerTool("get_error_summary", {
+    description: "Group errors theo module/severity. Dùng để xem điểm yếu hệ thống.",
+    inputSchema: {
+        hours: z.number().optional().describe("Bao nhiêu giờ gần đây (mặc định 24)"),
+    },
+}, async (args) => ({ content: text(await callApi("get_error_summary", args)) }));
+server.registerTool("detect_suspicious_ips", {
+    description: "Phát hiện IP có nhiều failed auth — dấu hiệu brute force. ⚠️ Heavy query.",
+    inputSchema: {
+        threshold: z.number().optional().describe("Số lần thất bại tối thiểu (mặc định 5)"),
+        hours: z.number().optional().describe("Khoảng thời gian (mặc định 1 giờ)"),
+    },
+}, async (args) => ({ content: text(await callApi("detect_suspicious_ips", args)) }));
+server.registerTool("get_critical_events", {
+    description: "Lấy events có severity error/critical gần đây.",
+    inputSchema: {
+        hours: z.number().optional().describe("Bao nhiêu giờ gần đây (mặc định 6)"),
+    },
+}, async (args) => ({ content: text(await callApi("get_critical_events", args)) }));
+server.registerTool("get_admin_activity_digest", {
+    description: "Tóm tắt hoạt động của admin trong ngày theo module/action.",
+    inputSchema: {
+        date: z.string().optional().describe("Ngày cần xem YYYY-MM-DD (mặc định hôm nay)"),
+    },
+}, async (args) => ({ content: text(await callApi("get_admin_activity_digest", args)) }));
+// ── Alerts ─────────────────────────────────────────────────────────────────
+server.registerTool("send_alert", {
+    description: "Gửi Telegram alert đến admin. Cooldown: warn=5m, error=1m, critical=không giới hạn. ✏️ WRITE.",
+    inputSchema: {
+        message: z.string().describe("Nội dung cảnh báo"),
+        severity: z.enum(["info", "warn", "error", "critical"]).describe("Mức độ nghiêm trọng"),
+    },
+    annotations: { destructiveHint: false },
+}, async (args) => ({ content: text(await callApi("send_alert", args)) }));
+server.registerTool("get_alert_history", {
+    description: "Lịch sử alerts đã gửi gần đây.",
+    inputSchema: {
+        hours: z.number().optional().describe("Bao nhiêu giờ gần đây (mặc định 24)"),
+    },
+}, async (args) => ({ content: text(await callApi("get_alert_history", args)) }));
+server.registerTool("silence_alert", {
+    description: "Tắt alert tạm thời. key='all' để tắt hết. ✏️ WRITE.",
+    inputSchema: {
+        key: z.string().describe("Alert key ('all' = tắt hết)"),
+        minutes: z.number().describe("Số phút silence (1-1440)"),
+    },
+    annotations: { destructiveHint: false },
+}, async (args) => ({ content: text(await callApi("silence_alert", args)) }));
+// ── Dashboard ──────────────────────────────────────────────────────────────
+server.registerTool("get_revenue_stats", {
+    description: "Thống kê doanh thu theo ngày/tuần/tháng từ logbalance.",
+    inputSchema: {
+        period: z.enum(["day", "week", "month"]).describe("Kỳ thống kê"),
+    },
+}, async (args) => ({ content: text(await callApi("get_revenue_stats", args)) }));
+server.registerTool("get_user_stats", {
+    description: "Thống kê user: mới đăng ký, active, bị ban trong kỳ.",
+    inputSchema: {
+        period: z.enum(["day", "week", "month"]).describe("Kỳ thống kê"),
+    },
+}, async (args) => ({ content: text(await callApi("get_user_stats", args)) }));
+server.registerTool("get_service_utilization", {
+    description: "VPS + hosting đang chạy theo status.",
+    annotations: { readOnlyHint: true },
+}, async () => ({ content: text(await callApi("get_service_utilization", {})) }));
+server.registerTool("get_ticket_stats", {
+    description: "Thống kê tickets theo status, số quá hạn >48h.",
+    annotations: { readOnlyHint: true },
+}, async () => ({ content: text(await callApi("get_ticket_stats", {})) }));
+server.registerTool("get_payment_health", {
+    description: "Tỉ lệ thành công thanh toán theo loại (bank/card/momo).",
+    annotations: { readOnlyHint: true },
+}, async () => ({ content: text(await callApi("get_payment_health", {})) }));
+// ── Users ──────────────────────────────────────────────────────────────────
+server.registerTool("find_user", {
+    description: "Tìm user theo username, email hoặc phone. Kết quả PII đã mask.",
+    inputSchema: {
+        query: z.string().describe("Từ khóa tìm kiếm (username / email / phone)"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("find_user", args)) }));
+server.registerTool("get_user_profile", {
+    description: "Thông tin user. Email/phone/name đã mask. KHÔNG có password hay CCCD.",
+    inputSchema: {
+        userId: z.string().describe("MongoDB ObjectId của user"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("get_user_profile", args)) }));
+server.registerTool("get_user_transactions", {
+    description: "Lịch sử giao dịch của user (nạp tiền, trừ tiền...).",
+    inputSchema: {
+        userId: z.string().describe("MongoDB ObjectId của user"),
+        limit: z.number().optional().describe("Số giao dịch (mặc định 20, tối đa 50)"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("get_user_transactions", args)) }));
+server.registerTool("get_user_security_events", {
+    description: "Lịch sử login/2FA/failed auth của user. IP đã mask.",
+    inputSchema: {
+        userId: z.string().describe("MongoDB ObjectId của user"),
+        hours: z.number().optional().describe("Bao nhiêu giờ gần đây (mặc định 48)"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("get_user_security_events", args)) }));
+server.registerTool("get_user_services", {
+    description: "VPS + hosting của user theo status.",
+    inputSchema: {
+        userId: z.string().describe("MongoDB ObjectId của user"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("get_user_services", args)) }));
+server.registerTool("flag_user_for_review", {
+    description: "Đánh dấu user cần review. Chỉ tạo audit log, KHÔNG sửa User document. ✏️ WRITE.",
+    inputSchema: {
+        userId: z.string().describe("MongoDB ObjectId của user"),
+        reason: z.string().describe("Lý do đánh dấu (tối đa 500 ký tự)"),
+    },
+    annotations: { destructiveHint: false },
+}, async (args) => ({ content: text(await callApi("flag_user_for_review", args)) }));
+// ── Tickets ────────────────────────────────────────────────────────────────
+server.registerTool("list_open_tickets", {
+    description: "Tickets chưa đóng, sort theo priority (urgent trước).",
+    inputSchema: {
+        limit: z.number().optional().describe("Số kết quả (mặc định 20)"),
+        priority: z.enum(["urgent", "high", "medium", "low"]).optional().describe("Lọc theo priority"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("list_open_tickets", args)) }));
+server.registerTool("get_ticket_summary", {
+    description: "Chi tiết ticket + 5 tin nhắn gần nhất. Email trong nội dung đã mask.",
+    inputSchema: {
+        ticketId: z.string().describe("MongoDB ObjectId của ticket"),
+    },
+    annotations: { readOnlyHint: true },
+}, async (args) => ({ content: text(await callApi("get_ticket_summary", args)) }));
+server.registerTool("get_overdue_tickets", {
+    description: "Tickets open/pending >48h chưa được xử lý, sort theo cũ nhất.",
+    annotations: { readOnlyHint: true },
+}, async () => ({ content: text(await callApi("get_overdue_tickets", {})) }));
+server.registerTool("get_ticket_stats_summary", {
+    description: "Thống kê tổng quan tickets: theo status, số quá hạn, tổng.",
+    annotations: { readOnlyHint: true },
+}, async () => ({ content: text(await callApi("get_ticket_stats", {})) }));
+// ── Start ──────────────────────────────────────────────────────────────────
+const transport = new StdioServerTransport();
+await server.connect(transport);
+console.error(`[MCP] DichVuRight Admin MCP Server v2.0 started`);
+console.error(`[MCP] API: ${API_URL}/api/mcp/tools/call`);

package/package.json

@@ -0,0 +1,44 @@
+{
+  "name": "@dichvuright/mcp-hosting-server",
+  "version": "1.0.0",
+  "description": "DichVuRight Admin MCP Server — AI agent integration via HMAC API",
+  "type": "module",
+  "bin": {
+    "dichvuright-mcp": "./dist/server.js"
+  },
+  "main": "./dist/server.js",
+  "files": [
+    "dist"
+  ],
+  "scripts": {
+    "dev": "tsx server.ts",
+    "build": "tsc",
+    "start": "node dist/server.js",
+    "prepublishOnly": "npm run build"
+  },
+  "publishConfig": {
+    "registry": "https://registry.npmjs.org",
+    "access": "public"
+  },
+  "repository": {
+    "type": "git",
+    "url": "https://github.com/dichvuright/hosting-dichvuright.git",
+    "directory": "mcp"
+  },
+  "keywords": ["mcp", "dichvuright", "admin", "ai-agent"],
+  "license": "UNLICENSED",
+  "private": false,
+  "dependencies": {
+    "@modelcontextprotocol/sdk": "^1.10.0",
+    "dotenv": "^16.0.0",
+    "zod": "^4.0.0"
+  },
+  "devDependencies": {
+    "@types/node": "^20.0.0",
+    "tsx": "^4.0.0",
+    "typescript": "^5.0.0"
+  },
+  "engines": {
+    "node": ">=18.0.0"
+  }
+}