npm - @lark-apaas/fullstack-rspack-preset - Versions diffs - 1.0.56 → 1.0.57-alpha.1 - Mend

@lark-apaas/fullstack-rspack-preset 1.0.56 → 1.0.57-alpha.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (5) hide show

package/lib/index.js CHANGED Viewed

@@ -41,10 +41,14 @@ const normalize_base_path_1 = require("./utils/normalize-base-path");
  * - CLIENT_DEV_PORT: 客户端开发端口 (默认: 8080)
  */
 function createFullstackRspackConfig(overrides = {}) {
-    // 1. 自动加载 .env 文件（同步加载，确保环境变量立即可用）
+    // 优先级 shell > .env.local > .env，对齐 Vite/Next.js 约定。
+    // dotenv.config 默认 override:false（先到先得），先 .env.local 让它优先，
+    // 再 .env 兜底；shell env 已在 process.env 中，两次 config 都不会覆盖。
     try {
         // eslint-disable-next-line @typescript-eslint/no-var-requires
-        require('dotenv').config();
+        const dotenv = require('dotenv');
+        dotenv.config({ path: '.env.local' });
+        dotenv.config({ path: '.env' });
     }
     catch (e) {
         // dotenv 是可选依赖，如果没有安装也不影响使用

package/lib/preset.js CHANGED Viewed

@@ -10,6 +10,7 @@ const core_1 = __importDefault(require("@rspack/core"));
 const devtool_kits_1 = require("@lark-apaas/devtool-kits");
 const plugin_react_refresh_1 = __importDefault(require("@rspack/plugin-react-refresh"));
 const dev_server_listener_1 = require("./utils/dev-server-listener");
+const local_dev_1 = require("./utils/local-dev");
 const route_parser_plugin_1 = __importDefault(require("./rspack-plugins/route-parser-plugin"));
 const slardar_performance_monitor_plugin_1 = __importDefault(require("./rspack-plugins/slardar-performance-monitor-plugin"));
 const view_context_injection_plugin_1 = __importDefault(require("./rspack-plugins/view-context-injection-plugin"));
@@ -75,6 +76,34 @@ function createRecommendRspackConfig(options) {
         }
     }
     catch { /* ignore */ }
+    // 本地 dev 链路兜底：将 {clientBasePath}/__runtime__ 反代到公网沙箱
+    // （由 MIAODA_DEV_PLATFORM_BASE 或 SANDBOX_PUBLIC_URL 提供 origin），
+    // 由 SDK 而非用户应用承担 cookie / x-larkgw-suda-webuser 注入。
+    const localDev = (0, local_dev_1.isLocalDev)();
+    const sandboxBase = (0, local_dev_1.resolveSandboxOrigin)();
+    const { cookie: outboundCookie, csrfToken: outboundCsrfToken } = (0, local_dev_1.composeSandboxOutboundAuth)();
+    // parseSudaWebUserEnv 容忍 dotenv@17 对 shell-quoted JSON 不 unescape `\"` 的边界。
+    let localDevWebUserHeader = '';
+    const parsedSudaWebUser = (0, local_dev_1.parseSudaWebUserEnv)(process.env.SUDA_WEBUSER);
+    if (parsedSudaWebUser) {
+        localDevWebUserHeader = encodeURIComponent(JSON.stringify(parsedSudaWebUser));
+    }
+    // 沙箱上 /__runtime__/* 的路由本身就期望带 /app/<appId> 前缀
+    // （跟生产网关 miaoda.feishu-boe.cn 的行为一致），所以直接透传完整路径，不做 pathRewrite。
+    const localDevRuntimeProxyEntries = localDev && sandboxBase
+        ? [{
+                context: [`${clientBasePath}/__runtime__`],
+                target: sandboxBase,
+                changeOrigin: true,
+                secure: true,
+                headers: {
+                    ...(outboundCookie ? { cookie: outboundCookie } : {}),
+                    'accept-encoding': 'identity',
+                    ...(localDevWebUserHeader ? { 'x-larkgw-suda-webuser': localDevWebUserHeader } : {}),
+                    ...(outboundCsrfToken ? { 'x-suda-csrf-token': outboundCsrfToken } : {}),
+                },
+            }]
+        : [];
     return {
         mode: isDev ? 'development' : 'production',
         cache: false,
@@ -384,10 +413,36 @@ function createRecommendRspackConfig(options) {
                 (0, dev_server_listener_1.listenHmrTiming)(server);
             },
             proxy: [
+                ...localDevRuntimeProxyEntries,
                 {
+                    // 本地 dev 没有 larkgw 经过这条 incoming 链路,server 端 NestJS 缺:
+                    //   1. x-larkgw-suda-webuser header(身份)→ ViewController 拼出 window.appId=""
+                    //      前端 auth-sdk 拼 URL 变 /app//api/... 全 404
+                    //   2. x-suda-csrf-token header(csrf double-submit)→ csrf middleware 403
+                    // 在 dev server 这层模拟 larkgw 注入这两样,让应用层 middleware 行为跟沙箱完全一致
+                    // (只信 incoming header)。webuser 静态从 SUDA_WEBUSER env 取(lark-cli +env-pull
+                    // 从沙箱 dump 到 .env.local);csrf token 在 onProxyReq 钩子里 per-request 从
+                    // cookie 抠(浏览器 cookie 是反代 /__runtime__ 时沙箱 Set-Cookie 透传过来的)。
                     context: [`${clientBasePath}/api`],
                     target: `http://localhost:${serverPort}`,
                     changeOrigin: true,
+                    ...(localDev && localDevWebUserHeader
+                        ? { headers: { 'x-larkgw-suda-webuser': localDevWebUserHeader } }
+                        : {}),
+                    ...(localDev
+                        ? {
+                            onProxyReq: (proxyReq, req) => {
+                                if (proxyReq.getHeader('x-suda-csrf-token'))
+                                    return;
+                                const cookie = req.headers.cookie;
+                                if (!cookie)
+                                    return;
+                                const m = /(?:^|;\s*)suda-csrf-token=([^;]+)/.exec(cookie);
+                                if (m)
+                                    proxyReq.setHeader('x-suda-csrf-token', m[1]);
+                            },
+                        }
+                        : {}),
                     onError: sendBackendUnavailable502,
                 },
                 {

package/lib/utils/local-dev.d.ts ADDED Viewed

@@ -0,0 +1,42 @@
+/**
+ * 本地开发总开关。由 dev-local.sh export `MIAODA_LOCAL_DEV=1`；
+ * 沙箱 dev / 生产都不设此 env。
+ */
+export declare function isLocalDev(): boolean;
+/**
+ * 反代沙箱时的认证组装。两条入口：
+ *   - 新流（推荐）：env `FORCE_AUTHN_PREVIEW_SESSION_ID` —— 后端下发的单值 session（实际是
+ *     X-Force-Runtime-Session 的值）。SDK 自动拼 cookie，suda-csrf-token 用本地常量。
+ *   - 老流（兼容）：env `SANDBOX_COOKIE` —— 用户从浏览器手抠的完整 cookie 字符串（包含
+ *     X-Force-Runtime-Session / suda-csrf-token / suda_web_did 等）。原样透传，suda-csrf-token
+ *     从其中正则提取作为出向 x-suda-csrf-token header。
+ *
+ * 两个都给的话 `SANDBOX_COOKIE` 优先（"已显式拼好"信号更强）。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+export declare function composeSandboxOutboundAuth(): {
+    cookie: string;
+    csrfToken: string;
+};
+/**
+ * 解析沙箱反代的 target origin。两条入口：
+ *   - 新流（推荐）：env `MIAODA_DEV_PLATFORM_BASE` —— 后端下发的完整 URL，**可能带路径前缀**
+ *     （例如 `https://ai-tenant-<app>-<sandbox>.aiforce-boe-preview.bytedance.net/app/<app>`）。
+ *     SDK 抽 `new URL(...).origin` 拿 host，扔掉路径——避免反代 target 双前缀。
+ *   - 老流（兼容）：env `SANDBOX_PUBLIC_URL`（用户从沙箱信息手抠 host）。
+ *
+ * 两个都给的话 `MIAODA_DEV_PLATFORM_BASE` 优先。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+export declare function resolveSandboxOrigin(): string;
+/**
+ * 解析 `process.env.SUDA_WEBUSER`，容忍沙箱下发的 shell-quoted JSON。
+ *
+ * 沙箱 env pull 下发到 .env.local 的 SUDA_WEBUSER 是双引号包裹 + 内部 `\"` 转义；
+ * dotenv@17 剥外层引号后**不还原**内部 `\"`，导致 `process.env.SUDA_WEBUSER` 是
+ * `{\"user_id\":\"...\"}` 这种带反斜杠的字符串，直接 JSON.parse 会挂在
+ * `Expected property name or '}' in JSON at position 1`。
+ *
+ * 容错：先直接 parse；失败再 unescape `\"` 后 parse；都失败返回 null。
+ */
+export declare function parseSudaWebUserEnv<T = unknown>(raw: string | undefined): T | null;

package/lib/utils/local-dev.js ADDED Viewed

@@ -0,0 +1,92 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.isLocalDev = isLocalDev;
+exports.composeSandboxOutboundAuth = composeSandboxOutboundAuth;
+exports.resolveSandboxOrigin = resolveSandboxOrigin;
+exports.parseSudaWebUserEnv = parseSudaWebUserEnv;
+/**
+ * 本地开发总开关。由 dev-local.sh export `MIAODA_LOCAL_DEV=1`；
+ * 沙箱 dev / 生产都不设此 env。
+ */
+function isLocalDev() {
+    if (process.env.NODE_ENV === 'production')
+        return false;
+    const flag = process.env.MIAODA_LOCAL_DEV;
+    return flag === '1' || flag === 'true';
+}
+/** 本地常量 csrf token —— sandbox 是 double-submit 模式（cookie===header 即放行），本地随便定一个一致值即可。 */
+const LOCAL_CSRF_TOKEN = 'local-dev-csrf';
+/**
+ * 反代沙箱时的认证组装。两条入口：
+ *   - 新流（推荐）：env `FORCE_AUTHN_PREVIEW_SESSION_ID` —— 后端下发的单值 session（实际是
+ *     X-Force-Runtime-Session 的值）。SDK 自动拼 cookie，suda-csrf-token 用本地常量。
+ *   - 老流（兼容）：env `SANDBOX_COOKIE` —— 用户从浏览器手抠的完整 cookie 字符串（包含
+ *     X-Force-Runtime-Session / suda-csrf-token / suda_web_did 等）。原样透传，suda-csrf-token
+ *     从其中正则提取作为出向 x-suda-csrf-token header。
+ *
+ * 两个都给的话 `SANDBOX_COOKIE` 优先（"已显式拼好"信号更强）。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+function composeSandboxOutboundAuth() {
+    const legacyCookie = process.env.SANDBOX_COOKIE;
+    if (legacyCookie) {
+        const m = legacyCookie.match(/(?:^|;\s*)suda-csrf-token=([^;]+)/i);
+        return { cookie: legacyCookie, csrfToken: m ? m[1] : '' };
+    }
+    const sessionId = process.env.FORCE_AUTHN_PREVIEW_SESSION_ID;
+    if (sessionId) {
+        return {
+            cookie: `X-Force-Runtime-Session=${sessionId}; suda-csrf-token=${LOCAL_CSRF_TOKEN}`,
+            csrfToken: LOCAL_CSRF_TOKEN,
+        };
+    }
+    return { cookie: '', csrfToken: '' };
+}
+/**
+ * 解析沙箱反代的 target origin。两条入口：
+ *   - 新流（推荐）：env `MIAODA_DEV_PLATFORM_BASE` —— 后端下发的完整 URL，**可能带路径前缀**
+ *     （例如 `https://ai-tenant-<app>-<sandbox>.aiforce-boe-preview.bytedance.net/app/<app>`）。
+ *     SDK 抽 `new URL(...).origin` 拿 host，扔掉路径——避免反代 target 双前缀。
+ *   - 老流（兼容）：env `SANDBOX_PUBLIC_URL`（用户从沙箱信息手抠 host）。
+ *
+ * 两个都给的话 `MIAODA_DEV_PLATFORM_BASE` 优先。两个都缺的话返回空字符串
+ * （local dev 跑不通，但不抛错——交给上层 `localDev && sandboxBase` 条件兜底）。
+ */
+function resolveSandboxOrigin() {
+    const platformBase = process.env.MIAODA_DEV_PLATFORM_BASE;
+    if (platformBase) {
+        try {
+            return new URL(platformBase).origin;
+        }
+        catch {
+            // 非合法 URL → 回落到 legacy
+        }
+    }
+    return process.env.SANDBOX_PUBLIC_URL || '';
+}
+/**
+ * 解析 `process.env.SUDA_WEBUSER`，容忍沙箱下发的 shell-quoted JSON。
+ *
+ * 沙箱 env pull 下发到 .env.local 的 SUDA_WEBUSER 是双引号包裹 + 内部 `\"` 转义；
+ * dotenv@17 剥外层引号后**不还原**内部 `\"`，导致 `process.env.SUDA_WEBUSER` 是
+ * `{\"user_id\":\"...\"}` 这种带反斜杠的字符串，直接 JSON.parse 会挂在
+ * `Expected property name or '}' in JSON at position 1`。
+ *
+ * 容错：先直接 parse；失败再 unescape `\"` 后 parse；都失败返回 null。
+ */
+function parseSudaWebUserEnv(raw) {
+    if (!raw)
+        return null;
+    try {
+        return JSON.parse(raw);
+    }
+    catch {
+        // fall through to unescape attempt
+    }
+    try {
+        return JSON.parse(raw.replace(/\\"/g, '"'));
+    }
+    catch {
+        return null;
+    }
+}

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@lark-apaas/fullstack-rspack-preset",
-  "version": "1.0.56",
+  "version": "1.0.57-alpha.1",
   "files": [
     "lib",
     "patches",