npm - mm_os - Versions diffs - 3.2.9 → 3.3.1 - Mend

mm_os 3.2.9 → 3.3.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (56) hide show

package/README.md +47 -1
package/core/base/mqtt/index.js +1109 -1106
package/core/base/web/index.js +245 -156
package/core/com/event/README.md +4 -4
package/core/com/event/com.json +3 -3
package/core/com/event/config.tpl.json +18 -18
package/core/com/event/drive.js +132 -132
package/core/com/event/index.js +344 -344
package/core/com/event/script.js +25 -25
package/core/com/middleware/com.js +152 -151
package/core/com/socket/config.tpl.json +2 -2
package/core/com/socket/drive.js +2 -2
package/core/com/socket/index.js +1 -1
package/core/com/sql/drive.js +7 -7
package/core/com/static/index.js +1 -1
package/index.js +34 -5
package/middleware/cors/index.js +112 -96
package/middleware/cors/middleware.json +18 -7
package/middleware/csrf/index.js +202 -0
package/middleware/csrf/middleware.json +24 -0
package/middleware/ip_firewall/index.js +476 -0
package/middleware/ip_firewall/middleware.json +109 -0
package/middleware/mqtt_base/middleware.json +2 -1
package/middleware/security_audit/index.js +543 -0
package/middleware/security_audit/middleware.json +48 -0
package/middleware/waf/index.js +273 -7
package/middleware/waf/middleware.json +2 -1
package/middleware/waf_ddos/index.js +520 -0
package/middleware/waf_ddos/middleware.json +38 -0
package/middleware/waf_xss/index.js +269 -0
package/middleware/waf_xss/middleware.json +18 -0
package/middleware/web_after/middleware.json +2 -1
package/middleware/web_base/middleware.json +2 -1
package/middleware/web_before/middleware.json +3 -2
package/middleware/web_check/middleware.json +2 -1
package/middleware/web_main/middleware.json +2 -1
package/middleware/web_proxy/middleware.json +2 -1
package/middleware/web_render/middleware.json +2 -1
package/middleware/web_socket/middleware.json +4 -3
package/middleware/web_static/middleware.json +2 -1
package/package.json +28 -15
package/middleware/log/index.js +0 -32
package/middleware/log/middleware.json +0 -9
package/middleware/performance/index.js +0 -143
package/middleware/performance/middleware.json +0 -16
package/middleware/rate_limit/index.js +0 -112
package/middleware/rate_limit/middleware.json +0 -10
package/middleware/waf_ip/index.js +0 -168
package/middleware/waf_ip/middleware.json +0 -10
package/nodemon.json +0 -31
package/package.txt +0 -1
package/rps.bat +0 -3
package/test.js +0 -10
package/tps.bat +0 -3
package/update.bat +0 -1
package//347/263/273/347/273/237/346/236/266/346/236/204/350/257/204/344/274/260/344/270/216/344/274/230/345/214/226/345/273/272/350/256/256.md +0 -599

package//347/263/273/347/273/237/346/236/266/346/236/204/350/257/204/344/274/260/344/270/216/344/274/230/345/214/226/345/273/272/350/256/256.md DELETED Viewed

@@ -1,599 +0,0 @@
-# mm_os系统架构评估与优化建议
-## 系统架构概述
-mm_os是一个基于Koa的服务端框架，设计用于快速构建网站、游戏、小程序、AIoT服务端等应用。系统采用模块化、中间件式架构，具备热拔插能力，支持分布式部署。
-### 核心架构组件
-1. **OS类**：系统核心类，负责配置加载、模块初始化和服务启动
-2. **中间件系统**：由Middleware类管理，支持按顺序加载和执行各种功能模块
-3. **双服务模式**：同时支持Web服务(基于Koa)和MQTT服务
-4. **插件机制**：支持热拔插，可快速扩展功能
-5. **应用管理**：通过应用管理器统一管理业务逻辑
-## 已完成的优化工作
-### 1. 中间件异步错误捕获机制
-已为以下13个中间件添加了完善的异步错误捕获机制：
-- rate_limit：API速率限制中间件
-- web_render：Web渲染中间件
-- log：请求日志中间件
-- web_after：请求后处理中间件
-- web_main：请求主要处理中间件
-- web_check：请求验证中间件
-- waf_ip：IP防火墙中间件
-- cors：跨域请求处理中间件
-- waf：Web应用防火墙中间件
-- web_base：Web基本功能中间件
-- web_proxy：Web代理服务中间件
-- web_socket：WebSocket通讯中间件
-- web_static：静态文件处理中间件
-每个中间件均采用外层整体捕获+内层特定操作捕获的策略，确保：
-1. 错误发生时能被正确捕获并记录详细日志
-2. Web请求错误时调用`next()`确保请求继续处理
-3. WebSocket错误时妥善关闭连接
-## 系统架构可优化点
-### 1. 全局错误处理机制
-**当前问题**：
-- 虽然各中间件已添加错误捕获，但系统缺乏统一的全局错误处理机制
-- 错误日志分散在各中间件中，不利于集中管理和分析
-**优化建议**：
-```javascript
-// 在OS类中添加全局错误处理
-OS.prototype.initErrorHandler = function() {
-  // 全局未捕获异常处理
-  process.on('uncaughtException', (error) => {
-    $.log.error('全局未捕获异常:', error);
-    // 可添加告警通知机制
-  });
-  // 全局未处理Promise拒绝处理
-  process.on('unhandledRejection', (reason, promise) => {
-    $.log.error('全局未处理Promise拒绝:', reason);
-    // 可添加告警通知机制
-  });
-  // 为Web服务添加统一错误处理中间件
-  if (this.web && this.web.server) {
-    this.web.server.on('error', (error) => {
-      $.log.error('Web服务器错误:', error);
-    });
-    // 添加全局错误处理中间件（应在所有中间件之前注册）
-    this.web.server.use(async (ctx, next) => {
-      try {
-        await next();
-        // 处理404错误
-        if (ctx.status === 404 && !ctx.body) {
-          ctx.status = 404;
-          ctx.body = { code: 404, message: 'Not Found' };
-        }
-      } catch (error) {
-        // 统一错误处理逻辑
-        const status = error.status || 500;
-        const message = error.message || 'Internal Server Error';
-        // 根据环境决定是否返回详细错误信息
-        const errorInfo = process.env.NODE_ENV === 'production'
-          ? { message }
-          : { message, stack: error.stack };
-        ctx.status = status;
-        ctx.body = { code: status, ...errorInfo };
-        $.log.error(`请求错误 [${ctx.method} ${ctx.path}]:`, error);
-      }
-    });
-  }
-};
-```
-### 2. 日志系统优化
-**当前问题**：
-- 日志功能分散，缺乏统一配置
-- 日志级别控制不灵活
-- 没有日志轮转和归档机制
-**优化建议**：
-```javascript
-// 创建统一的日志配置和管理模块
-// core/com/log/index.js
-class LogManager {
-  constructor() {
-    this.config = {
-      level: process.env.NODE_ENV === 'production' ? 'info' : 'debug',
-      path: './logs',
-      maxSize: '100m',
-      maxFiles: '7d'
-    };
-    this.init();
-  }
-  init() {
-    const fs = require('fs');
-    const path = require('path');
-    const winston = require('winston');
-    const DailyRotateFile = require('winston-daily-rotate-file');
-    // 确保日志目录存在
-    const logDir = path.resolve($.runPath, this.config.path);
-    if (!fs.existsSync(logDir)) {
-      fs.mkdirSync(logDir, { recursive: true });
-    }
-    // 创建logger实例
-    this.logger = winston.createLogger({
-      level: this.config.level,
-      format: winston.format.combine(
-        winston.format.timestamp({
-          format: 'YYYY-MM-DD HH:mm:ss'
-        }),
-        winston.format.printf(info => `[${info.timestamp}] [${info.level.toUpperCase()}] ${info.message}`)
-      ),
-      transports: [
-        new winston.transports.Console(),
-        new DailyRotateFile({
-          filename: path.join(logDir, 'app-%DATE%.log'),
-          datePattern: 'YYYY-MM-DD',
-          zippedArchive: true,
-          maxSize: this.config.maxSize,
-          maxFiles: this.config.maxFiles
-        }),
-        new DailyRotateFile({
-          filename: path.join(logDir, 'error-%DATE%.log'),
-          datePattern: 'YYYY-MM-DD',
-          zippedArchive: true,
-          maxSize: this.config.maxSize,
-          maxFiles: this.config.maxFiles,
-          level: 'error'
-        })
-      ]
-    });
-    // 暴露日志方法到全局
-    $.log = {
-      debug: (msg, meta) => this.logger.debug(msg, meta),
-      info: (msg, meta) => this.logger.info(msg, meta),
-      warn: (msg, meta) => this.logger.warn(msg, meta),
-      error: (msg, meta) => this.logger.error(msg, meta)
-    };
-  }
-}
-if (!$.logManager) {
-  $.logManager = new LogManager();
-}
-module.exports = LogManager;
-```
-### 3. 配置管理系统优化
-**当前问题**：
-- 配置文件结构简单，缺乏环境区分能力
-- 配置加载机制不够灵活
-- 没有配置验证和默认值处理
-**优化建议**：
-```javascript
-// 优化配置管理模块
-// core/com/config/index.js
-class ConfigManager {
-  constructor() {
-    this.config = {};
-    this.env = process.env.NODE_ENV || 'development';
-  }
-  load(baseConfig = {}) {
-    // 基础配置
-    this.config = { ...baseConfig };
-    // 加载默认配置
-    const defaultConfig = this.loadConfigFile('./conf.default.json');
-    if (defaultConfig) {
-      this.config = { ...this.config, ...defaultConfig };
-    }
-    // 加载环境特定配置
-    const envConfig = this.loadConfigFile(`./conf.${this.env}.json`);
-    if (envConfig) {
-      this.config = { ...this.config, ...envConfig };
-    }
-    // 加载本地配置（通常不纳入版本控制）
-    const localConfig = this.loadConfigFile('./conf.local.json');
-    if (localConfig) {
-      this.config = { ...this.config, ...localConfig };
-    }
-    // 验证配置
-    this.validateConfig();
-    return this.config;
-  }
-  loadConfigFile(filePath) {
-    try {
-      const fullPath = path.resolve($.runPath, filePath);
-      if (fs.existsSync(fullPath)) {
-        return require(fullPath);
-      }
-    } catch (error) {
-      console.error(`加载配置文件失败 ${filePath}:`, error);
-    }
-    return null;
-  }
-  validateConfig() {
-    // 配置验证逻辑
-    const { web, mqtt, mysql, redis } = this.config;
-    // 例如：验证端口号范围
-    if (web && typeof web.port === 'number' && (web.port < 1 || web.port > 65535)) {
-      throw new Error(`Web端口号${web.port}超出有效范围`);
-    }
-    // 更多配置验证...
-  }
-  get(key, defaultValue = null) {
-    // 支持点号分隔的嵌套属性访问
-    const keys = key.split('.');
-    let value = this.config;
-    for (const k of keys) {
-      if (value === undefined || value === null) {
-        return defaultValue;
-      }
-      value = value[k];
-    }
-    return value === undefined ? defaultValue : value;
-  }
-}
-module.exports = ConfigManager;
-```
-### 4. 中间件加载机制优化
-**当前问题**：
-- 中间件加载逻辑较为简单，缺乏依赖管理
-- 无法根据条件动态启用/禁用中间件
-- 没有中间件分组和优先级精细控制
-**优化建议**：
-```javascript
-// 优化中间件管理模块
-// 扩展Middleware类
-Middleware.prototype.loadWithDependencies = async function() {
-  // 先加载所有中间件配置
-  this.update_config();
-  // 创建依赖图
-  const dependencyGraph = new Map();
-  const loadedMiddlewares = new Set();
-  // 分析依赖关系
-  for (const middleware of this.list) {
-    dependencyGraph.set(middleware.name, {
-      middleware,
-      dependencies: middleware.dependencies || [],
-      loaded: false
-    });
-  }
-  // 按依赖顺序加载中间件
-  for (const [name, item] of dependencyGraph.entries()) {
-    await this.loadMiddlewareWithDependencies(name, dependencyGraph, loadedMiddlewares);
-  }
-  return this.list;
-};
-Middleware.prototype.loadMiddlewareWithDependencies = async function(name, dependencyGraph, loadedMiddlewares) {
-  if (loadedMiddlewares.has(name)) {
-    return true;
-  }
-  const item = dependencyGraph.get(name);
-  if (!item) {
-    $.log.error(`依赖的中间件不存在: ${name}`);
-    return false;
-  }
-  // 先加载依赖
-  for (const depName of item.dependencies) {
-    if (!await this.loadMiddlewareWithDependencies(depName, dependencyGraph, loadedMiddlewares)) {
-      return false;
-    }
-  }
-  // 检查是否满足条件
-  if (item.middleware.condition && typeof item.middleware.condition === 'function') {
-    try {
-      const shouldLoad = await item.middleware.condition(this.config);
-      if (!shouldLoad) {
-        $.log.info(`中间件条件不满足，跳过加载: ${name}`);
-        return true;
-      }
-    } catch (error) {
-      $.log.error(`中间件条件检查失败: ${name}`, error);
-      return false;
-    }
-  }
-  // 加载中间件
-  try {
-    if (item.middleware.func_file && item.middleware.func_file.hasFile()) {
-      if (item.middleware.reload) {
-        item.middleware.func = this.reLoadJS(item.middleware.func_file);
-      } else {
-        item.middleware.func = require(item.middleware.func_file);
-      }
-      // 如果有初始化函数，调用它
-      if (item.middleware.func && typeof item.middleware.func.init === 'function') {
-        await item.middleware.func.init(this.config);
-      }
-      loadedMiddlewares.add(name);
-      item.loaded = true;
-      $.log.info(`中间件加载成功: ${name}`);
-      return true;
-    }
-  } catch (error) {
-    $.log.error(`中间件加载失败: ${name}`, error);
-  }
-  return false;
-};
-```
-### 5. 性能优化
-**当前问题**：
-- 缺乏缓存策略，频繁访问数据库
-- 没有请求响应时间监控
-- 静态资源处理效率可提升
-**优化建议**：
-1. **添加请求性能监控中间件**：
-```javascript
-// middleware/performance/index.js
-module.exports = function(server, config) {
-  server.use(async (ctx, next) => {
-    const start = Date.now();
-    const startTime = process.hrtime();
-    try {
-      await next();
-    } finally {
-      const ms = Date.now() - start;
-      const [seconds, nanoseconds] = process.hrtime(startTime);
-      const executionTime = seconds * 1000 + nanoseconds / 1000000;
-      // 记录响应时间
-      ctx.set('X-Response-Time', `${ms}ms`);
-      // 慢请求报警
-      if (ms > (config.slowThreshold || 1000)) {
-        $.log.warn(`慢请求: ${ctx.method} ${ctx.path} - ${ms}ms`);
-      }
-      // 可添加性能数据收集，用于分析
-      if ($.performanceMonitor) {
-        $.performanceMonitor.record(ctx.path, ms);
-      }
-    }
-  });
-  return server;
-};
-```
-2. **优化静态资源处理**：
-```javascript
-// 增强web_static中间件，添加缓存控制和压缩
-const staticCache = require('koa-static-cache');
-const compress = require('koa-compress');
-module.exports = function(server, config) {
-  const cg = Object.assign({
-    maxAge: 365 * 24 * 60 * 60, // 默认缓存一年
-    gzip: true,
-    brotli: true,
-    threshold: 1024 // 大于1KB的文件才压缩
-  }, config);
-  // 添加压缩中间件
-  server.use(compress({
-    filter: function(content_type) {
-      return /text|json|javascript|css|xml/.test(content_type);
-    },
-    threshold: cg.threshold,
-    gzip: { flush: require('zlib').constants.Z_SYNC_FLUSH },
-    brotli: { flush: require('zlib').constants.BROTLI_OPERATION_FLUSH }
-  }));
-  // 使用静态缓存代替简单的静态文件服务
-  if (cg.static_paths && Array.isArray(cg.static_paths)) {
-    cg.static_paths.forEach((pathConfig, index) => {
-      const options = Object.assign({}, cg, pathConfig.options);
-      server.use(staticCache(pathConfig.path, options));
-    });
-  }
-  // 保留原有静态文件处理
-  if ($.static && $.static.run) {
-    server.use(async (ctx, next) => {
-      try {
-        const handled = await $.static.run(ctx, cg);
-        if (!handled) {
-          await next();
-        }
-      } catch (error) {
-        $.log.error('静态文件服务错误:', error);
-        await next();
-      }
-    });
-  }
-  return server;
-};
-```
-### 6. 安全性增强
-**当前问题**：
-- 缺乏完整的安全防护体系
-- 没有请求数据验证机制
-- 敏感信息可能未妥善处理
-**优化建议**：
-1. **添加请求数据验证中间件**：
-```javascript
-// middleware/validator/index.js
-const Joi = require('@hapi/joi');
-// 全局验证规则存储
-const validationRules = new Map();
-// 注册验证规则
-function registerValidation(path, method, schema) {
-  const key = `${method.toUpperCase()}:${path}`;
-  validationRules.set(key, schema);
-}
-module.exports = function(server, config) {
-  server.use(async (ctx, next) => {
-    const key = `${ctx.method}:${ctx.path}`;
-    const schema = validationRules.get(key);
-    if (schema) {
-      try {
-        // 根据请求类型获取数据
-        let data;
-        if (ctx.method === 'GET') {
-          data = ctx.query;
-        } else {
-          data = ctx.request.body;
-        }
-        // 验证数据
-        const validatedData = await Joi.validate(data, schema, {
-          abortEarly: false,
-          allowUnknown: false
-        });
-        // 替换为验证后的数据
-        if (ctx.method === 'GET') {
-          ctx.query = validatedData;
-        } else {
-          ctx.request.body = validatedData;
-        }
-      } catch (error) {
-        ctx.status = 400;
-        ctx.body = {
-          code: 400,
-          message: '请求数据验证失败',
-          errors: error.details.map(detail => detail.message)
-        };
-        $.log.warn(`请求数据验证失败 [${key}]:`, error.details);
-        return;
-      }
-    }
-    await next();
-  });
-  // 暴露注册方法到全局
-  $.validator = {
-    register: registerValidation
-  };
-  return server;
-};
-```
-2. **添加安全头部中间件**：
-```javascript
-// middleware/security_headers/index.js
-module.exports = function(server, config) {
-  server.use(async (ctx, next) => {
-    // 设置HSTS头，强制使用HTTPS
-    ctx.set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
-    // 防止XSS攻击
-    ctx.set('X-XSS-Protection', '1; mode=block');
-    // 防止MIME类型嗅探
-    ctx.set('X-Content-Type-Options', 'nosniff');
-    // 禁止iframe嵌入
-    ctx.set('X-Frame-Options', 'DENY');
-    // 设置内容安全策略
-    ctx.set('Content-Security-Policy', "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;");
-    // 引用策略
-    ctx.set('Referrer-Policy', 'no-referrer-when-downgrade');
-    // 特性策略
-    ctx.set('Feature-Policy', 'geolocation none; microphone none; camera none');
-    await next();
-  });
-  return server;
-};
-```
-### 7. 代码规范和结构优化
-**当前问题**：
-- 代码风格不够统一
-- 部分文件结构需要调整
-- 缺乏完善的文档和注释
-**优化建议**：
-1. **引入代码规范工具**：
-   - 配置ESLint和Prettier统一代码风格
-   - 添加.editorconfig文件
-   - 配置Git钩子，在提交前检查代码规范
-2. **完善项目结构**：
-   - 清晰区分核心模块和业务模块
-   - 优化目录结构，便于维护
-   - 为API、配置和中间件提供模板
-3. **增强文档和注释**：
-   - 为核心模块和API添加JSDoc注释
-   - 创建API文档生成工具
-   - 完善README.md，添加更详细的使用说明
-## 总结
-mm_os系统采用灵活的中间件架构，已通过添加异步错误捕获机制大幅提升了系统的健壮性。通过实施上述优化建议，可以进一步提升系统的性能、安全性、可维护性和可扩展性，使其更适合用于构建高可用、高性能的服务端应用。
-建议按照优化点的优先级逐步实施：
-1. 全局错误处理机制（最高优先级）
-2. 日志系统优化
-3. 安全性增强
-4. 性能优化
-5. 中间件加载机制优化
-6. 配置管理系统优化
-7. 代码规范和结构优化