@workfly/vite-plugin 0.1.0

package/index.d.ts

@@ -0,0 +1,21 @@
+// @workfly/vite-plugin 类型声明（实现为纯 ESM JS）。
+import type { Plugin } from 'vite'
+
+export interface WorkflyPluginOptions {
+  /** manifest.json 路径，相对 vite root，默认 'manifest.json'。 */
+  manifest?: string
+  /** 输出 zip 名，默认 `${目录名}.wfapp.zip`（放 vite root，不进 dist）。 */
+  outName?: string
+  /** build 结束后是否自动 pack 成 .wfapp.zip，默认 true。 */
+  pack?: boolean
+  /** build：dist/index.html 内联 <script> 的 CSP 校验级别，默认 'warn'。 */
+  cspCheck?: 'error' | 'warn' | 'off'
+  /** dev：是否按 manifest.permissions 门控 wf 代理调用，默认 true。 */
+  enforcePermissions?: boolean
+  /** dev：调试面板开关，默认 true。 */
+  devPanel?: boolean
+  /** dev：模拟启动 query（对应客户端 getLaunchOptionsSync）。 */
+  query?: Record<string, string>
+}
+
+export default function workfly(options?: WorkflyPluginOptions): Plugin

package/package.json

@@ -0,0 +1,32 @@
+{
+  "name": "@workfly/vite-plugin",
+  "version": "0.1.0",
+  "description": "WorkFly 小程序的 Vite 插件（框架无关）：dev 注入 wf SDK + 网络/RSA 代理 + 权限门控；build 后校验 manifest 并打包成带 WFAPP1 魔数的 .wfapp.zip。",
+  "type": "module",
+  "exports": {
+    ".": {
+      "types": "./index.d.ts",
+      "default": "./src/index.js"
+    }
+  },
+  "files": [
+    "src",
+    "index.d.ts"
+  ],
+  "dependencies": {
+    "@workfly/miniapp-kit": "^0.1.0"
+  },
+  "peerDependencies": {
+    "vite": ">=5"
+  },
+  "keywords": [
+    "workfly",
+    "miniapp",
+    "vite-plugin",
+    "wfapp"
+  ],
+  "publishConfig": {
+    "access": "public"
+  },
+  "license": "MIT"
+}

package/src/index.js

@@ -0,0 +1,203 @@
+// @workfly/vite-plugin —— WorkFly 小程序的 Vite 插件（框架无关）。
+//   build：强制 base/modulePreload 基线 → 校验 manifest → 扫 CSP → 打包成 .wfapp.zip（魔数）。
+//   dev（见 configureServer/transformIndexHtml）：注入 wf shim + 网络/RSA 代理 + 权限门控。
+// 框架交给开发者自己的 @vitejs/plugin-react|vue；本插件只管 WorkFly 特有的注入与打包。
+import { existsSync, readFileSync, writeFileSync } from 'node:fs'
+import { dirname, join, resolve } from 'node:path'
+import { fileURLToPath, pathToFileURL } from 'node:url'
+
+// 解析工具核心：主仓内走相对路径，发布后走依赖包名 @workfly/miniapp-kit。
+// 惰性加载（不能用顶层 await：Vite/rolldown 预打包配置时不支持 TLA）；specifier 用变量确保按运行时动态 import 处理。
+const here = dirname(fileURLToPath(import.meta.url))
+let _kit
+function loadKit() {
+  if (!_kit) {
+    const kitRepo = resolve(here, '../../miniapp-kit/src/index.js')
+    const spec = existsSync(kitRepo) ? pathToFileURL(kitRepo).href : '@workfly/miniapp-kit'
+    _kit = import(spec)
+  }
+  return _kit
+}
+
+/** dist/index.html 不应含违规内联 <script>（沙盒 CSP script-src 'self' 会拦截 → 白屏）。 */
+function checkCsp(distDir, level, ctx) {
+  const idx = join(distDir, 'index.html')
+  if (!existsSync(idx)) return
+  const html = readFileSync(idx, 'utf8')
+  const inline = [...html.matchAll(/<script\b(?![^>]*\bsrc=)[^>]*>/gi)].filter(
+    (t) => !/type=["']application\/json["']/i.test(t[0])
+  )
+  if (!inline.length) return
+  const msg =
+    `dist/index.html 含 ${inline.length} 个内联 <script>，会被沙盒 CSP（script-src 'self'）拦截导致白屏。` +
+    `请确认 build.modulePreload.polyfill=false，且不要内联脚本。`
+  level === 'error' ? ctx.error(msg) : ctx.warn(msg)
+}
+
+/** 规整 permissions（兼容旧 string[] 与新 {id,reason}[]）→ 能力 id 列表。 */
+function normPerms(perms) {
+  return (perms ?? []).map((p) => (typeof p === 'string' ? p : p.id))
+}
+
+/** 读 connect 请求体为 JSON。 */
+function readBody(req) {
+  return new Promise((res, rej) => {
+    let raw = ''
+    req.on('data', (c) => (raw += c))
+    req.on('end', () => {
+      try {
+        res(raw ? JSON.parse(raw) : {})
+      } catch (e) {
+        rej(e)
+      }
+    })
+    req.on('error', rej)
+  })
+}
+
+function sendJson(res, code, obj) {
+  res.writeHead(code, { 'content-type': 'application/json; charset=utf-8' })
+  res.end(JSON.stringify(obj))
+}
+
+/**
+ * @param {import('../index.js').WorkflyPluginOptions} [options]
+ * @returns {import('vite').Plugin}
+ */
+export default function workfly(options = {}) {
+  const {
+    manifest: manifestRel = 'manifest.json',
+    outName,
+    pack = true,
+    cspCheck = 'warn',
+    enforcePermissions = true,
+    query = {}
+  } = options
+
+  let root = process.cwd()
+  let outDir = 'dist'
+  let isBuild = false
+  let manifest = null
+
+  function loadManifest() {
+    const p = resolve(root, manifestRel)
+    if (!existsSync(p)) return null
+    try {
+      return JSON.parse(readFileSync(p, 'utf8'))
+    } catch {
+      return null
+    }
+  }
+
+  return {
+    name: '@workfly/vite-plugin',
+
+    // 仅 build 强制正确基线（merge，用户显式设的优先；dev 不动 base 以保 HMR）：
+    //  · base:'./'            资源相对路径，适配 workfly-app://<id>/ 解析
+    //  · modulePreload 关 polyfill  避免 Vite 注入内联脚本被沙盒 CSP 拦截（头号坑）
+    config(_userConfig, env) {
+      isBuild = env.command === 'build'
+      if (!isBuild) return {}
+      return { base: './', build: { modulePreload: { polyfill: false } } }
+    },
+
+    configResolved(resolved) {
+      root = resolved.root
+      outDir = resolved.build.outDir
+      manifest = loadManifest()
+    },
+
+    // dev：注入 wf shim + 启动配置；去掉沙盒 CSP（dev 不需要，且会挡 shim 与同源代理）。生产由 preload 注入 wf，故 build 不注入。
+    transformIndexHtml: {
+      order: 'pre',
+      handler(html) {
+        if (isBuild) return html
+        const m = manifest ?? {}
+        const config = {
+          id: m.id,
+          name: m.name,
+          version: m.version,
+          permissions: normPerms(m.permissions),
+          proxyBase: '',
+          query
+        }
+        const stripped = html.replace(
+          /<meta[^>]+http-equiv=["']Content-Security-Policy["'][^>]*>\s*/gi,
+          ''
+        )
+        return {
+          html: stripped,
+          tags: [
+            {
+              tag: 'script',
+              children: `window.__WF_CONFIG__=${JSON.stringify(config)}`,
+              injectTo: 'head-prepend'
+            },
+            { tag: 'script', attrs: { src: '/__wf/shim.js' }, injectTo: 'head-prepend' }
+          ]
+        }
+      }
+    },
+
+    // dev：本地代理 wf 网络/RSA（复刻主进程语义、绕 CORS），按 manifest 权限门控。
+    configureServer(server) {
+      server.middlewares.use('/__wf/shim.js', async (_req, res) => {
+        const { shimSource } = await loadKit()
+        res.writeHead(200, { 'content-type': 'text/javascript; charset=utf-8' })
+        res.end(shimSource())
+      })
+      server.middlewares.use('/__wf/request', async (req, res, next) => {
+        if (req.method !== 'POST') return next()
+        if (enforcePermissions && !new Set(normPerms(manifest?.permissions)).has('net.fetch'))
+          return sendJson(res, 403, { error: "permission 'net.fetch' not granted" })
+        try {
+          const { handleWfRequest } = await loadKit()
+          const { status, body } = await handleWfRequest(await readBody(req))
+          sendJson(res, status, body)
+        } catch (e) {
+          sendJson(res, 502, { error: String(e?.message ?? e) })
+        }
+      })
+      server.middlewares.use('/__wf/rsa', async (req, res, next) => {
+        if (req.method !== 'POST') return next()
+        try {
+          const { handleWfRsa } = await loadKit()
+          const { status, body } = await handleWfRsa(await readBody(req))
+          sendJson(res, status, body)
+        } catch (e) {
+          sendJson(res, 400, { error: String(e?.message ?? e) })
+        }
+      })
+    },
+
+    // 产物写盘后：校验 manifest → 扫 CSP → 打包 .wfapp.zip。
+    // 用 writeBundle（产物已落盘）而非 closeBundle（Vite 8/rolldown 下 closeBundle 早于 dist 落盘）。
+    async writeBundle() {
+      if (!isBuild) return
+      const { packDir, readMagic, validateManifest } = await loadKit()
+      const { report, manifest } = validateManifest(root, { forPack: true })
+      for (const w of report.warnings) this.warn(w)
+      if (report.errors.length) {
+        this.error(`manifest 校验失败：\n  ${report.errors.join('\n  ')}`)
+        return
+      }
+
+      if (cspCheck !== 'off') checkCsp(resolve(root, outDir), cspCheck, this)
+
+      if (pack === false) return
+      // SPA：源 index.html（vite 入口）与 public/ 已构建进 dist，排除避免重复入包
+      const r = packDir({
+        dir: root,
+        manifest,
+        outName,
+        exclude: { dirs: ['public'], paths: ['index.html'] }
+      })
+      writeFileSync(join(root, r.outName), r.bytes)
+      const ok = !!readMagic(r.bytes)
+      this.info(
+        `[workfly] ✓ ${r.outName} · ${r.fileCount} 文件 · ${(r.bytes.length / 1024).toFixed(1)} KB · 魔数${ok ? '已写入' : '缺失!'} (${manifest.id}@${manifest.version})`
+      )
+      if (!ok) this.error('魔数写入校验失败')
+    }
+  }
+}