refactor: workspace secrets-core + secrets-mcp MCP SaaS

- Split library (db/crypto/service) and MCP/Web/OAuth binary
- Add deploy examples and CI/docs updates

Made-with: Cursor

scripts/release-check.sh

@@ -5,15 +5,15 @@ set -euo pipefail
 repo_root="$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)"
 cd "$repo_root"
 
-version="$(grep -m1 '^version' Cargo.toml | sed 's/.*"\(.*\)".*/\1/')"
-tag="secrets-${version}"
+version="$(grep -m1 '^version' crates/secrets-mcp/Cargo.toml | sed 's/.*"\(.*\)".*/\1/')"
+tag="secrets-mcp-${version}"
 
-echo "==> 当前版本: ${version}"
+echo "==> 当前 secrets-mcp 版本: ${version}"
 echo "==> 检查是否已存在 tag: ${tag}"
 
 if git rev-parse "refs/tags/${tag}" >/dev/null 2>&1; then
   echo "错误: 已存在 tag ${tag}"
-  echo "请先 bump Cargo.toml 中的 version，再执行 cargo build 同步 Cargo.lock。"
+  echo "请先 bump crates/secrets-mcp/Cargo.toml 中的 version，再执行 cargo build 同步 Cargo.lock。"
   exit 1
 fi
 

scripts/setup-gitea-actions.sh

@@ -6,14 +6,21 @@
 # 所需配置:
 #   - secrets.RELEASE_TOKEN  (必选) Release 上传用，值为 Gitea PAT
 #   - vars.WEBHOOK_URL       (可选) 飞书通知
+#   - vars.DEPLOY_HOST       (可选) 部署目标 SSH 主机（IP 或域名）
+#   - vars.DEPLOY_USER       (可选) SSH 用户名
+#   - secrets.DEPLOY_SSH_KEY (可选) SSH 私钥 PEM 全文（原始字符，含 BEGIN/END 行）；通过 DEPLOY_SSH_KEY_FILE 写入 API
 #
 # 注意:
 #   - Gitea 不允许 secret/variable 名以 GITEA_ 或 GITHUB_ 开头，故使用 RELEASE_TOKEN
-#   - Secret/Variable 的 data/value 字段需传入原始值，不要使用 base64 编码
+#   - Gitea Actions 的 secrets（API 的 data 字段，及网页里粘贴的值）必须是未经 base64 的原始值。
+#     若事先 base64 再写入，工作流里拿到的仍是「一串 base64 文本」，SSH/OpenSSH 无法识别，部署会失败。
+#     DEPLOY_SSH_KEY 须与 .pem 文件内容一致：本脚本用 jq --rawfile 按原文上传。
+#   - Variables 的 value 字段同样为原始字符串，不要 base64。
 #
 # 用法:
 #   1. 从 ~/.config/gitea/config.env 读取 GITEA_URL, GITEA_TOKEN, GITEA_WEBHOOK_URL
-#   2. 或通过环境变量覆盖: GITEA_TOKEN（作为 RELEASE_TOKEN 的值）, WEBHOOK_URL
+#   2. 或通过环境变量覆盖: GITEA_TOKEN（作为 RELEASE_TOKEN 的值）, WEBHOOK_URL,
+#      DEPLOY_HOST, DEPLOY_USER, DEPLOY_SSH_KEY_FILE（部署到 ECS）
 #   3. 或使用 secrets CLI 获取: 需 DATABASE_URL，从 refining/service gitea 读取
 #
 
@@ -109,8 +116,7 @@ echo "配置 Gitea Actions: $OWNER/$REPO"
 echo "━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━"
 echo ""
 
-# 1. 创建 Secret: RELEASE_TOKEN
-# 注意: Gitea Actions API 的 data 字段需传入原始值，不要使用 base64 编码
+# 1. 创建 Secret: RELEASE_TOKEN（data = PAT 原文，勿 base64）
 echo "1. 创建 Secret: RELEASE_TOKEN"
 secret_payload=$(jq -n --arg t "$GITEA_TOKEN" '{data: $t}')
 resp=$(curl -s -w "\n%{http_code}" -X PUT \
@@ -129,8 +135,7 @@ else
   exit 1
 fi
 
-# 2. 创建/更新 Variable: WEBHOOK_URL（可选）
-# 注意: Secret 和 Variable 均使用原始值，不要 base64 编码
+# 2. 创建/更新 Variable: WEBHOOK_URL（可选，value 为原始 URL 字符串，勿 base64）
 WEBHOOK_VALUE="${WEBHOOK_URL:-$GITEA_WEBHOOK_URL}"
 if [[ -n "$WEBHOOK_VALUE" ]]; then
   echo ""
@@ -168,6 +173,68 @@ else
   echo "   飞书通知将不可用；如需可后续在仓库 Settings → Variables 中添加"
 fi
 
+# 3. 部署用 Variable + Secret（与 .gitea/workflows/secrets.yml 中 deploy-mcp 一致）
+upsert_repo_variable() {
+  local var_name="$1" var_value="$2"
+  local var_payload http_code body resp
+  var_payload=$(jq -n --arg v "$var_value" '{value: $v}')
+  resp=$(curl -s -w "\n%{http_code}" -X POST \
+    -H "Authorization: token $GITEA_TOKEN" \
+    -H "Content-Type: application/json" \
+    -d "$var_payload" \
+    "${API_BASE}/repos/${OWNER}/${REPO}/actions/variables/${var_name}")
+  http_code=$(echo "$resp" | tail -n1)
+  if [[ "$http_code" == "200" || "$http_code" == "201" || "$http_code" == "204" ]]; then
+    return 0
+  fi
+  if [[ "$http_code" == "409" ]]; then
+    resp=$(curl -s -w "\n%{http_code}" -X PUT \
+      -H "Authorization: token $GITEA_TOKEN" \
+      -H "Content-Type: application/json" \
+      -d "$var_payload" \
+      "${API_BASE}/repos/${OWNER}/${REPO}/actions/variables/${var_name}")
+    http_code=$(echo "$resp" | tail -n1)
+    [[ "$http_code" == "200" || "$http_code" == "204" ]]
+    return
+  fi
+  body=$(echo "$resp" | sed '$d')
+  echo "   ❌ 变量 ${var_name} 失败 (HTTP $http_code)" >&2
+  echo "$body" | jq -r '.message // .' 2>/dev/null || echo "$body" >&2
+  return 1
+}
+
+if [[ -n "$DEPLOY_HOST" && -n "$DEPLOY_USER" && -n "$DEPLOY_SSH_KEY_FILE" ]]; then
+  echo ""
+  echo "3. 部署目标: vars.DEPLOY_HOST / vars.DEPLOY_USER + secrets.DEPLOY_SSH_KEY"
+  if [[ ! -f "$DEPLOY_SSH_KEY_FILE" ]]; then
+    echo "   ❌ DEPLOY_SSH_KEY_FILE 不是文件: $DEPLOY_SSH_KEY_FILE" >&2
+    exit 1
+  fi
+  upsert_repo_variable DEPLOY_HOST "$DEPLOY_HOST" || exit 1
+  echo "   ✓ DEPLOY_HOST"
+  upsert_repo_variable DEPLOY_USER "$DEPLOY_USER" || exit 1
+  echo "   ✓ DEPLOY_USER"
+  # PEM 原文写入 secret.data；勿对文件先做 base64，否则 runner 侧 ssh 无法解析密钥
+  secret_payload=$(jq -n --rawfile k "$DEPLOY_SSH_KEY_FILE" '{data: $k}')
+  resp=$(curl -s -w "\n%{http_code}" -X PUT \
+    -H "Authorization: token $GITEA_TOKEN" \
+    -H "Content-Type: application/json" \
+    -d "$secret_payload" \
+    "${API_BASE}/repos/${OWNER}/${REPO}/actions/secrets/DEPLOY_SSH_KEY")
+  http_code=$(echo "$resp" | tail -n1)
+  body=$(echo "$resp" | sed '$d')
+  if [[ "$http_code" == "200" || "$http_code" == "201" || "$http_code" == "204" ]]; then
+    echo "   ✓ DEPLOY_SSH_KEY"
+  else
+    echo "   ❌ DEPLOY_SSH_KEY 失败 (HTTP $http_code)" >&2
+    echo "$body" | jq -r '.message // .' 2>/dev/null || echo "$body" >&2
+    exit 1
+  fi
+else
+  echo ""
+  echo "3. 跳过部署配置（需同时设置 DEPLOY_HOST、DEPLOY_USER、DEPLOY_SSH_KEY_FILE）"
+fi
+
 echo ""
 echo "━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━"
 echo "✓ 配置完成"
@@ -176,6 +243,7 @@ echo ""
 echo "Workflow 将使用:"
 echo "  - secrets.RELEASE_TOKEN  创建 Release 并上传二进制"
 echo "  - vars.WEBHOOK_URL     发送飞书通知（如已配置）"
+echo "  - vars.DEPLOY_* / secrets.DEPLOY_SSH_KEY  deploy-mcp（如已配置）"
 echo ""
 echo "推送代码触发构建:"
 echo "  git push origin main"