chaimi-bookkeeping-mcp 3.1.21 → 3.1.23

package/README.md

@@ -8,6 +8,15 @@
 - macOS / Windows / Linux
 - 微信（已安装"柴米AI记账"小程序）
 
+## ⚠️ 重要提示（Agent开发者必读）
+
+**如果您是 AI Agent 开发者，请注意：**
+
+1. **不要缓存工具定义**：MCP 工具定义可能会更新，请在每次调用前通过 `mcporter list` 获取最新定义
+2. **关注版本号**：工具描述中包含版本号（如【v3.1.21】），版本变化时请更新您的 Skill
+3. **save_receipt 工具要求**：items 数组中每个商品必须包含完整的4个字段：`name`、`amount`、`price`、`quantity`
+4. **自动填充字段**：`agentType`、`apiProvider`、`rawInput`、`mcp_version` 为自动填充字段，无需用户输入
+
 ## 快速安装
 
 ### 方式一：npm 全局安装（推荐）
@@ -134,6 +143,17 @@ AI 会自动调用 `save_income` 工具记录收入。
 
 ## 更新日志
 
+### v3.1.23 (2026-04-13)
+- **安全** 新增请求签名验证，防止 Agent 直接 curl 访问云函数
+- **安全** Token 加密存储（AES-256-CBC），绑定机器标识
+- **安全** URL 加密存储，防止明文暴露
+- **新增** SKILL.md 定义安全约束和触发规则
+- **优化** 授权提示文案，增加 AUTH_JUST_COMPLETED 标记
+
+### v3.1.22 (2026-04-12)
+- **修复** fillDefaults 金额计算逻辑（根据 price × quantity 计算 amount）
+- **修复** 解决辣可可小票价格显示为0元的问题
+
 ### v3.1.21 (2026-04-12)
 - **修复** 版本号同步更新
 

package/oauth.js

@@ -8,6 +8,7 @@ const fetch = require('node-fetch');
 const { exec } = require('child_process');
 const util = require('util');
 const execPromise = util.promisify(exec);
+const crypto = require('crypto');
 
 class OAuthManager {
   constructor(config) {
@@ -375,20 +376,73 @@ class TokenStorage {
   }
 }
 
+// 生成机器唯一标识（用于加密密钥）
+function getMachineId() {
+  const os = require('os');
+  const interfaces = os.networkInterfaces();
+  let macAddress = '';
+
+  // 获取第一个非本地 MAC 地址
+  for (const name of Object.keys(interfaces)) {
+    for (const iface of interfaces[name]) {
+      if (iface.mac && iface.mac !== '00:00:00:00:00:00') {
+        macAddress = iface.mac;
+        break;
+      }
+    }
+    if (macAddress) break;
+  }
+
+  // 结合主机名和平台信息生成密钥
+  const keyMaterial = `${macAddress}-${os.hostname()}-${os.platform()}`;
+  return crypto.createHash('sha256').update(keyMaterial).digest('hex').substring(0, 32);
+}
+
+// 加密 Token
+function encryptToken(token, key) {
+  const iv = crypto.randomBytes(16);
+  const cipher = crypto.createCipheriv('aes-256-cbc', Buffer.from(key), iv);
+  let encrypted = cipher.update(JSON.stringify(token), 'utf8', 'hex');
+  encrypted += cipher.final('hex');
+  return iv.toString('hex') + ':' + encrypted;
+}
+
+// 解密 Token
+function decryptToken(encryptedData, key) {
+  const parts = encryptedData.split(':');
+  const iv = Buffer.from(parts[0], 'hex');
+  const encrypted = parts[1];
+  const decipher = crypto.createDecipheriv('aes-256-cbc', Buffer.from(key), iv);
+  let decrypted = decipher.update(encrypted, 'hex', 'utf8');
+  decrypted += decipher.final('utf8');
+  return JSON.parse(decrypted);
+}
+
 class FileTokenStorage extends TokenStorage {
   constructor(filePath) {
     super();
     this.filePath = filePath;
     this.fs = require('fs').promises;
     this.path = require('path');
+    this.key = getMachineId();
   }
 
   async save(token) {
     const dir = this.path.dirname(this.filePath);
     await this.fs.mkdir(dir, { recursive: true });
+
+    // 加密 Token 后保存
+    const encrypted = encryptToken(token, this.key);
+    const data = {
+      version: '2.0',
+      encrypted: encrypted,
+      algorithm: 'aes-256-cbc',
+      updatedAt: new Date().toISOString()
+    };
+
     await this.fs.writeFile(
       this.filePath,
-      JSON.stringify(token, null, 2),
+      JSON.stringify(data, null, 2),
       { mode: 0o600 }
     );
   }
@@ -396,7 +450,23 @@ class FileTokenStorage extends TokenStorage {
   async load() {
     try {
       const data = await this.fs.readFile(this.filePath, 'utf8');
-      return JSON.parse(data);
+      const parsed = JSON.parse(data);
+
+      // 向后兼容：检测旧版明文格式
+      if (!parsed.version || parsed.version === '1.0') {
+        console.error('检测到旧版 Token 格式，自动升级...');
+        // 返回明文数据，但下次保存时会自动加密
+        return {
+          accessToken: parsed.accessToken,
+          refreshToken: parsed.refreshToken,
+          expiresAt: parsed.expiresAt,
+          expiresIn: parsed.expiresIn,
+          tokenType: parsed.tokenType
+        };
+      }
+
+      // 新版加密格式，解密后返回
+      return decryptToken(parsed.encrypted, this.key);
     } catch (err) {
       if (err.code === 'ENOENT') {
         return null;

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "chaimi-bookkeeping-mcp",
-  "version": "3.1.21",
+  "version": "3.1.23",
   "description": "柴米记账 MCP Server - 支持 Claude、Cursor、OpenClaw、WorkBuddy 等 AI 工具直接记账",
   "main": "server.js",
   "bin": {

package/server.js

@@ -21,6 +21,7 @@ const {
 const path = require('path');
 const os = require('os');
 const fs = require('fs');
+const crypto = require('crypto');
 
 // 读取 package.json 获取版本
 const packageJson = JSON.parse(fs.readFileSync(path.join(__dirname, 'package.json'), 'utf8'));
@@ -29,10 +30,34 @@ const MCP_VERSION = packageJson.version;
 // 导入 OAuth 模块
 const { OAuthManager, FileTokenStorage } = require('./oauth.js');
 
-// 配置 - 微信云函数
-const MCP_HUB_URL = process.env.MCP_HUB_URL || 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpHub-mcp';
-const MCP_PROMPT_URL = process.env.MCP_PROMPT_URL || 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpPrompt';
-const MCP_OAUTH_URL = process.env.MCP_OAUTH_URL || 'https://cloud1-2gfe5jhjef06b85d-1412172089.ap-shanghai.app.tcloudbase.com/mcpOAuth';
+// API 签名密钥（用于验证请求来自合法 MCP Server）
+const CHAIMI_API_SECRET = 'chaimi-mcp-secret-2024';
+
+// URL 加密密钥
+const URL_ENCRYPT_KEY = 'chaimi-url-key-2024';
+
+// 加密的云函数 URL
+const ENCRYPTED_URLS = {
+  hub: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f571320140b40044e05',
+  oauth: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f571327201c1901',
+  prompt: 'enc:v1:0b1c15191e53025a1100421e0148000057545156020903080f1d431054180f484819030203035158595043085d5801044c0502114c5b1e53441346150a01065811100d5e0e4b1a425f1f5f5713381306001959'
+};
+
+// 解密 URL 函数
+function decryptUrl(encrypted, key) {
+  const hex = encrypted.replace('enc:v1:', '');
+  let result = '';
+  for (let i = 0; i < hex.length; i += 2) {
+    const byte = parseInt(hex.substr(i, 2), 16);
+    result += String.fromCharCode(byte ^ key.charCodeAt((i / 2) % key.length));
+  }
+  return result;
+}
+
+// 配置 - 微信云函数（运行时解密）
+const MCP_HUB_URL = process.env.MCP_HUB_URL || decryptUrl(ENCRYPTED_URLS.hub, URL_ENCRYPT_KEY);
+const MCP_PROMPT_URL = process.env.MCP_PROMPT_URL || decryptUrl(ENCRYPTED_URLS.prompt, URL_ENCRYPT_KEY);
+const MCP_OAUTH_URL = process.env.MCP_OAUTH_URL || decryptUrl(ENCRYPTED_URLS.oauth, URL_ENCRYPT_KEY);
 
 // Token 缓存
 let cachedToken = null;
@@ -118,41 +143,41 @@ server.setRequestHandler(ListToolsRequestSchema, async () => {
       },
       {
         name: 'save_receipt',
-        description: '【图片小票专用】保存购物小票/发票/收据（支持单商品或多商品）。当用户提供图片形式的小票、发票时，无论商品数量多少（1条或多条），都必须使用此接口。可自动识别商家名称、商品明细、金额、优惠等信息。典型场景：超市购物小票、餐厅发票、线上订单截图、手写收据照片等',
+        description: '【v3.1.21】【图片小票专用】保存购物小票/发票/收据。⚠️ 重要：items数组中每个商品必须包含完整的4个字段：name（商品名称）、amount（金额=单价×数量）、price（单价）、quantity（数量）。示例：[{"name":"苹果","amount":5.5,"price":5.5,"quantity":1}]',
         inputSchema: {
           type: 'object',
           properties: {
-            store: { type: 'string', description: '商家名称' },
+            store: { type: 'string', description: '商家名称（必填）' },
             date: { type: 'string', description: '消费时间（ISO 8601 格式，必须包含日期和时间，如：2026-04-10T13:06:21）' },
-            totalAmount: { type: 'number', description: '总金额' },
-            originalAmount: { type: 'number', description: '应付金额' },
+            totalAmount: { type: 'number', description: '总金额（所有商品amount之和）' },
+            originalAmount: { type: 'number', description: '应付金额（优惠前）' },
             discountAmount: { type: 'number', description: '优惠金额' },
-            actualAmount: { type: 'number', description: '实付金额' },
-            paymentMethod: { type: 'string', description: '支付方式' },
+            actualAmount: { type: 'number', description: '实付金额（优惠后）' },
+            paymentMethod: { type: 'string', description: '支付方式，如：微信支付、支付宝' },
             receiptNo: { type: 'string', description: '小票编号' },
             items: {
               type: 'array',
-              description: '商品列表，支持两种格式：1) 直接数组：[{"name":"苹果","amount":5.5}]  2) JSON字符串："[{\"name\":\"苹果\",\"amount\":5.5}]"（部分Agent如Claude Code可能传递JSON字符串）',
+              description: '【必填】商品列表，必须是数组格式。每个商品必须包含：name、amount、price、quantity。⚠️ 注意：amount=price×quantity',
               items: {
                 type: 'object',
                 properties: {
-                  name: { type: 'string', description: '商品名称' },
-                  originalName: { type: 'string', description: '原始商品名称' },
-                  price: { type: 'number', description: '单价' },
-                  quantity: { type: 'number', description: '数量' },
-                  unit: { type: 'string', description: '单位' },
-                  amount: { type: 'number', description: '金额' },
+                  name: { type: 'string', description: '【必填】商品名称' },
+                  originalName: { type: 'string', description: '原始商品名称（含规格）' },
+                  price: { type: 'number', description: '【必填】单价' },
+                  quantity: { type: 'number', description: '【必填】数量' },
+                  unit: { type: 'string', description: '单位，如：斤、个、份' },
+                  amount: { type: 'number', description: '【必填】金额，必须等于 price × quantity' },
                   weight: { type: 'string', description: '重量' },
-                  marketPrice: { type: 'string', description: '市场单价' },
-                  category: { type: 'string', description: '分类' },
+                  marketPrice: { type: 'string', description: '市场单价（元/500g）' },
+                  category: { type: 'string', description: '分类，如：餐饮、食品、购物' },
                 },
                 required: ['name', 'amount', 'price', 'quantity'],
               },
             },
-            agentType: { type: 'string', description: '【推荐自动填充】Agent类型，如：claude-desktop、cursor、openclaw、workbuddy、trae' },
-            apiProvider: { type: 'string', description: '【推荐自动填充】AI服务提供商，如：anthropic、openai、doubao、aliyun' },
-            rawInput: { type: 'string', description: '【推荐自动填充】用户的原始输入内容，用于记录用户原始请求' },
-            mcp_version: { type: 'string', description: 'MCP Server 版本号（自动填充）' },
+            agentType: { type: 'string', description: '【自动填充】Agent类型：claude-desktop、cursor、openclaw、workbuddy、trae' },
+            apiProvider: { type: 'string', description: '【自动填充】AI服务提供商：anthropic、openai、doubao、aliyun' },
+            rawInput: { type: 'string', description: '【自动填充】用户的原始输入内容' },
+            mcp_version: { type: 'string', description: '【自动填充】MCP Server版本号' },
           },
           required: ['store', 'items'],
         },
@@ -278,14 +303,15 @@ async function getToken() {
             await oauthManager.tokenStorage.save(token);
             await oauthManager.clearAuthState();
             console.error('✅ 授权成功！可以继续使用记账功能');
-            return cachedToken;
+            // 返回特殊标记，让上层知道这是刚完成授权的情况
+            throw new Error(`AUTH_JUST_COMPLETED:${cachedToken}`);
           }
           // 用户还未授权，返回同一个验证码
           authState.deviceCode = savedAuthState.deviceCode;
           authState.userCode = savedAuthState.userCode;
           throw new Error(`NEED_AUTH:${savedAuthState.userCode}`);
         } catch (err) {
-          if (err.message.startsWith('NEED_AUTH:')) {
+          if (err.message.startsWith('NEED_AUTH:') || err.message.startsWith('AUTH_JUST_COMPLETED:')) {
             throw err;
           }
           // 其他错误，继续获取新的验证码
@@ -348,18 +374,33 @@ async function callMcpPrompt(tool, params, token) {
   return await response.json();
 }
 
+// 生成请求签名（用于验证请求来自合法 MCP Server）
+function generateSignature(body, timestamp, secret) {
+  const payload = JSON.stringify(body) + timestamp;
+  return crypto
+    .createHmac('sha256', secret)
+    .update(payload)
+    .digest('hex');
+}
+
 // 调用 mcpHub 云函数
 async function callMcpHub(tool, params, token) {
+  const body = {
+    tool: tool,
+    params: params,
+  };
+  const timestamp = Date.now().toString();
+  const signature = generateSignature(body, timestamp, CHAIMI_API_SECRET);
+
   const response = await fetch(MCP_HUB_URL, {
     method: 'POST',
     headers: {
       'Content-Type': 'application/json',
       'Authorization': `Bearer ${token}`,
+      'X-Chaimi-Signature': signature,
+      'X-Chaimi-Timestamp': timestamp,
     },
-    body: JSON.stringify({
-      tool: tool,
-      params: params,
-    }),
+    body: JSON.stringify(body),
   });
 
   if (!response.ok) {
@@ -418,6 +459,32 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
       }
 
       case 'save_receipt': {
+        // 0. 参数格式强制检查 - 确保 items 中每个商品都有完整的字段
+        if (processedArgs.items && Array.isArray(processedArgs.items)) {
+          const invalidItems = [];
+          processedArgs.items.forEach((item, index) => {
+            const missingFields = [];
+            if (!item.hasOwnProperty('name')) missingFields.push('name');
+            if (!item.hasOwnProperty('amount')) missingFields.push('amount');
+            if (!item.hasOwnProperty('price')) missingFields.push('price');
+            if (!item.hasOwnProperty('quantity')) missingFields.push('quantity');
+            
+            if (missingFields.length > 0) {
+              invalidItems.push(`商品${index + 1}(${item.name || '未命名'})缺少字段: ${missingFields.join(', ')}`);
+            }
+          });
+          
+          if (invalidItems.length > 0) {
+            result = {
+              success: false,
+              error: `参数格式错误：${invalidItems.join('; ')}。请更新您的 MCP Skill 或检查 items 数组格式。每个商品必须包含：name, amount, price, quantity`,
+              code: 400
+            };
+            userMessage = `❌ 保存失败\n\n错误：商品数据格式不完整\n\n${invalidItems.join('\n')}\n\n💡 解决方案：\n1. 请更新您的柴米记账 MCP Skill\n2. 确保每个商品包含完整的4个字段：name, amount, price, quantity\n3. amount 必须等于 price × quantity`;
+            break;
+          }
+        }
+        
         // 1. 调用 parseReceipt 重新提取小票信息（覆盖 Agent 传的数据）
         if (processedArgs.rawInput) {
           const parseResult = await callMcpPrompt(
@@ -592,15 +659,23 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
               type: 'text',
               text: `🔐 首次使用需要授权
 
-验证码：**${userCode}**
+━━━━━━━━━━━━━━
+📱 验证码：**${userCode}**
+━━━━━━━━━━━━━━
 
 请在"柴米AI记账"小程序中完成授权：
-1. 打开微信小程序"柴米AI记账"
-2. 点击"我的" → "🤖 Agent 授权"
-3. 输入验证码：**${userCode}**
-4. 点击确认授权
 
-授权完成后，请再次发送记账指令，我将自动继续。`,
+1️⃣ 打开微信小程序"柴米AI记账"
+2️⃣ 点击"我的" → "🤖 Agent 授权"
+3️⃣ 输入验证码：**${userCode}**
+4️⃣ 点击确认授权
+
+⚠️ 重要提示：
+• 授权完成后，MCP Server 会自动退出（正常现象）
+• 请重新发送您的记账指令，我才能为您完成记账
+• 首次授权后，后续记账将无需再次授权
+
+⏳ 验证码有效期：30分钟`,
             },
           ],
         };
@@ -616,6 +691,30 @@ server.setRequestHandler(CallToolRequestSchema, async (request) => {
       }
     }
     
+    // 处理刚完成授权的情况
+    if (error.message.startsWith('AUTH_JUST_COMPLETED:')) {
+      return {
+        content: [
+          {
+            type: 'text',
+            text: `✅ 授权成功！
+
+━━━━━━━━━━━━━━
+🎉 恭喜！您已完成授权
+━━━━━━━━━━━━━━
+
+现在可以正常使用记账功能了！
+
+请重新发送您的记账指令，例如：
+• "记录一笔午餐 35元"
+• "保存小票，商家是沃尔玛，商品有..."
+
+首次授权后，后续记账将无需再次授权。`,
+          },
+        ],
+      };
+    }
+    
     return {
       content: [
         {