secrets/AGENTS.md

# Secrets CLI — AGENTS.md

## 提交 / 发版硬规则（优先于下文其他说明）

1. 涉及 `src/**`、`Cargo.toml`、`Cargo.lock`、CLI 行为变更的提交，默认视为**需要发版**，除非用户明确说明“本次不发版”。
2. 发版前必须先检查 `Cargo.toml` 中的 `version`，再检查是否已存在对应 tag：`git tag -l 'secrets-*'`。
3. 若当前版本对应 tag 已存在，必须先 bump `Cargo.toml` 的 `version`，再执行 `cargo build` 同步 `Cargo.lock`，然后才能提交。
4. 提交前优先运行 `./scripts/release-check.sh`；该脚本会检查重复版本并执行 `cargo fmt -- --check && cargo clippy --locked -- -D warnings && cargo test --locked`。

跨设备密钥与配置管理 CLI 工具，将 refining / ricnsmart 两个项目的服务器信息、服务凭据存储到 PostgreSQL 18，供 AI 工具读取上下文。敏感数据（encrypted 字段）使用 AES-256-GCM 加密，主密钥由 Argon2id 从主密码派生并存入平台安全存储（macOS Keychain / Windows Credential Manager / Linux keyutils）。

## 项目结构

```
secrets/
  src/
    main.rs              # CLI 入口，clap 命令定义，auto-migrate，--verbose 全局参数
    output.rs            # OutputMode 枚举 + TTY 检测（TTY→text，非 TTY→json-compact）
    config.rs            # 配置读写：~/.config/secrets/config.toml（database_url）
    db.rs                # PgPool 创建 + 建表/索引（幂等，含 audit_log + kv_config + secrets_history）
    crypto.rs            # AES-256-GCM 加解密、Argon2id 派生、OS 钥匙串
    models.rs            # Secret 结构体（sqlx::FromRow + serde，含 version 字段）
    audit.rs             # 审计写入：log_tx（事务内）/ log（池，保留备用）
    commands/
      init.rs            # init 命令：主密钥初始化（每台设备一次）
      add.rs             # add 命令：upsert，事务化，含历史快照，支持 key:=json 类型化值与嵌套路径写入
      config.rs          # config 命令：set-db / show / path（持久化 database_url）
      search.rs          # search 命令：多条件查询，公开 fetch_rows / build_env_map
      delete.rs          # delete 命令：事务化，含历史快照
      update.rs          # update 命令：增量更新，CAS 并发保护，含历史快照
      rollback.rs        # rollback / history 命令：版本回滚与历史查看
      run.rs             # inject / run 命令：临时环境变量注入
      upgrade.rs         # upgrade 命令：检查、校验摘要并下载最新版本，自动替换二进制
  scripts/
    release-check.sh        # 发版前检查版本号/tag 是否重复，并执行 fmt/clippy/test
    setup-gitea-actions.sh  # 配置 Gitea Actions 变量与 Secrets
  .gitea/workflows/
    secrets.yml          # CI：fmt + clippy + musl 构建 + Release 上传 + 飞书通知
  .vscode/tasks.json     # 本地测试任务（build / config / search / add+delete / update / audit 等）
```

## 数据库

- **Host**: `<host>:<port>`
- **Database**: `secrets`
- **连接串**: `postgres://postgres:<password>@<host>:<port>/secrets`
- **表**: `secrets`（主表）+ `audit_log`（审计表）+ `kv_config`（Argon2 salt 等），首次连接自动建表（auto-migrate）

### 表结构

```sql
secrets (
  id          UUID PRIMARY KEY DEFAULT uuidv7(),  -- PG18 时间有序 UUID
  namespace   VARCHAR(64)   NOT NULL,              -- 一级隔离: "refining" | "ricnsmart"
  kind        VARCHAR(64)   NOT NULL,              -- 类型: "server" | "service"（可扩展）
  name        VARCHAR(256)  NOT NULL,              -- 人类可读标识
  tags        TEXT[]        NOT NULL DEFAULT '{}', -- 灵活标签: ["aliyun","hongkong"]
  metadata    JSONB         NOT NULL DEFAULT '{}', -- 明文描述: ip, desc, domains, location...
  encrypted   BYTEA         NOT NULL DEFAULT '\x', -- AES-256-GCM 密文: nonce(12B)||ciphertext+tag
  version     BIGINT        NOT NULL DEFAULT 1,    -- 乐观锁版本号，每次写操作自增
  created_at  TIMESTAMPTZ   NOT NULL DEFAULT NOW(),
  updated_at  TIMESTAMPTZ   NOT NULL DEFAULT NOW(),
  UNIQUE(namespace, kind, name)
)
```

```sql
secrets_history (
  id          BIGINT GENERATED ALWAYS AS IDENTITY PRIMARY KEY,
  secret_id   UUID         NOT NULL,   -- 对应 secrets.id
  namespace   VARCHAR(64)  NOT NULL,
  kind        VARCHAR(64)  NOT NULL,
  name        VARCHAR(256) NOT NULL,
  version     BIGINT       NOT NULL,   -- 被快照时的版本号
  action      VARCHAR(16)  NOT NULL,   -- 'add' | 'update' | 'delete' | 'rollback'
  tags        TEXT[]       NOT NULL DEFAULT '{}',
  metadata    JSONB        NOT NULL DEFAULT '{}',
  encrypted   BYTEA        NOT NULL DEFAULT '\x', -- 快照时的加密密文
  actor       VARCHAR(128) NOT NULL DEFAULT '',
  created_at  TIMESTAMPTZ  NOT NULL DEFAULT NOW()
)
```

```sql
kv_config (
  key   TEXT PRIMARY KEY,   -- 如 'argon2_salt'
  value BYTEA NOT NULL        -- Argon2id salt，首台设备 init 时生成
)
```

### audit_log 表结构

```sql
audit_log (
  id          BIGINT GENERATED ALWAYS AS IDENTITY PRIMARY KEY,
  action      VARCHAR(32)   NOT NULL,              -- 'add' | 'update' | 'delete'
  namespace   VARCHAR(64)   NOT NULL,
  kind        VARCHAR(64)   NOT NULL,
  name        VARCHAR(256)  NOT NULL,
  detail      JSONB         NOT NULL DEFAULT '{}', -- 变更摘要（tags/meta keys/secret keys，不含 value）
  actor       VARCHAR(128)  NOT NULL DEFAULT '',    -- 操作者（$USER 环境变量）
  created_at  TIMESTAMPTZ   NOT NULL DEFAULT NOW()
)
```

### 字段职责划分

| 字段 | 存什么 | 示例 |
|------|--------|------|
| `namespace` | 项目/团队隔离 | `refining`, `ricnsmart` |
| `kind` | 记录类型 | `server`, `service` |
| `name` | 唯一标识名 | `i-uf63f2uookgs5uxmrdyc`, `gitea` |
| `tags` | 多维分类标签 | `["aliyun","hongkong","ricn"]` |
| `metadata` | 明文非敏感信息 | `{"ip":"47.243.154.187","desc":"Grafana","domains":["..."]}` |
| `encrypted` | 敏感凭据，AES-256-GCM 加密存储 | 二进制密文，解密后为 `{"ssh_key":"...","password":"..."}` |

## 数据库配置

首次使用需显式配置数据库连接，设置一次后在该设备上持久生效：

```bash
secrets config set-db "postgres://postgres:<password>@<host>:<port>/secrets"
secrets config show   # 查看当前配置（密码脱敏）
secrets config path   # 打印配置文件路径
```

`set-db` 会先验证连接可用，成功后才写入配置文件；连接失败时提示 "Database connection failed" 且不修改配置。

配置文件：`~/.config/secrets/config.toml`，权限 0600。`--db-url` 参数可一次性覆盖。

## 主密钥与加密

首次使用（每台设备各执行一次）：

```bash
secrets config set-db "postgres://postgres:<password>@<host>:<port>/secrets"
secrets init   # 提示输入主密码，Argon2id 派生主密钥后存入 OS 钥匙串
```

主密码不存储；salt 存于 `kv_config`，首台设备生成后共享，确保同一主密码在所有设备派生出相同主密钥。

主密钥存储后端：macOS Keychain、Windows Credential Manager、Linux keyutils（会话级，重启后需再次 `secrets init`）。

**从旧版（明文 JSONB）升级**：升级后执行 `secrets init` 即可（明文记录需手动重新 add 或通过 update 更新）。

## CLI 命令

### AI 使用主路径

**读取一律用 `search`，写入用 `add` / `update`，避免反复查帮助。**

输出格式规则：
- TTY（终端直接运行）→ 默认 `text`
- 非 TTY（管道/重定向/AI 调用）→ 自动 `json-compact`
- 显式 `-o json` → 美化 JSON

---

### init — 主密钥初始化（每台设备一次）

```bash
# 首次设备：生成 Argon2id salt 并存库，派生主密钥后存 OS 钥匙串
secrets init

# 后续设备：复用已有 salt，派生主密钥后存钥匙串（主密码需与首台相同）
secrets init
```

### search — 发现与读取

```bash
# 参数说明（带典型值）
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             gitea | i-uf63f2uookgs5uxmrdyc | mqtt
#   --tag              aliyun | hongkong | production
#   -q / --query       mqtt | grafana | gitea   （模糊匹配 name/namespace/kind/tags/metadata）
#   --show-secrets     已弃用；search 不再直接展示 secrets
#   -f / --field       metadata.ip | metadata.url | metadata.default_org
#   --summary          不带值的 flag，仅返回摘要（name/tags/desc/updated_at）
#   --limit            20 | 50（默认 50）
#   --offset           0 | 10 | 20（分页偏移）
#   --sort             name（默认）| updated | created
#   -o / --output      text | json | json-compact

# 发现概览（起步推荐）
secrets search --summary --limit 20
secrets search -n refining --summary --limit 20
secrets search --sort updated --limit 10 --summary

# 精确定位单条记录
secrets search -n refining --kind service --name gitea
secrets search -n refining --kind server --name i-uf63f2uookgs5uxmrdyc

# 精确定位并获取完整内容（secrets 保持加密占位）
secrets search -n refining --kind service --name gitea -o json

# 直接提取 metadata 字段值（最短路径）
secrets search -n refining --kind service --name gitea -f metadata.url
secrets search -n refining --kind service --name gitea \
  -f metadata.url -f metadata.default_org

# 需要 secrets 时，改用 inject / run
secrets inject -n refining --kind service --name gitea
secrets run -n refining --kind service --name gitea -- printenv

# 模糊关键词搜索
secrets search -q mqtt
secrets search -q grafana
secrets search -q 47.117

# 按条件过滤
secrets search -n refining --kind service
secrets search -n ricnsmart --kind server
secrets search --tag hongkong
secrets search --tag aliyun --summary

# 分页
secrets search -n refining --summary --limit 10 --offset 0
secrets search -n refining --summary --limit 10 --offset 10

# 管道 / AI 调用（非 TTY 自动 json-compact）
secrets search -n refining --kind service | jq '.[].name'
```

---

### add — 新增或全量覆盖（upsert）

```bash
# 参数说明（带典型值）
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             gitea | i-uf63f2uookgs5uxmrdyc
#   --tag              aliyun | hongkong（可重复）
#   -m / --meta        ip=47.117.131.22 | desc="Aliyun ECS" | url=https://... | tls:cert@./cert.pem（可重复）
#   -s / --secret      token=<value> | ssh_key=@./key.pem | password=secret123 | credentials:content@./key.pem（可重复）

# 添加服务器
secrets add -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \
  --tag aliyun --tag shanghai \
  -m ip=47.117.131.22 -m desc="Aliyun Shanghai ECS" \
  -s username=root -s ssh_key=@./keys/voson_shanghai_e.pem

# 添加服务凭据
secrets add -n refining --kind service --name gitea \
  --tag gitea \
  -m url=https://gitea.refining.dev -m default_org=refining -m username=voson \
  -s token=<token> -s runner_token=<runner_token>

# 从文件读取 token
secrets add -n ricnsmart --kind service --name mqtt \
  -m host=mqtt.ricnsmart.com -m port=1883 \
  -s password=@./mqtt_password.txt

# 多行文件直接写入嵌套 secret 字段
secrets add -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \
  -s credentials:content@./keys/voson_shanghai_e.pem

# 使用类型化值（key:=<json>）存储非字符串类型
secrets add -n refining --kind service --name prometheus \
  -m scrape_interval:=15 \
  -m enabled:=true \
  -m labels:='["prod","metrics"]' \
  -s api_key=abc123
```

---

### update — 增量更新（记录必须已存在）

只有传入的字段才会变动，其余全部保留。

```bash
# 参数说明（带典型值）
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             gitea | i-uf63f2uookgs5uxmrdyc
#   --add-tag          production | backup（不影响已有 tag，可重复）
#   --remove-tag       staging | deprecated（可重复）
#   -m / --meta        ip=10.0.0.1 | desc="新描述" | credentials:username=root（新增或覆盖，可重复）
#   --remove-meta      old_port | legacy_key | credentials:content（删除 metadata 字段，可重复）
#   -s / --secret      token=<new> | ssh_key=@./new.pem | credentials:content@./new.pem（新增或覆盖，可重复）
#   --remove-secret    old_password | deprecated_key | credentials:content（删除 secret 字段，可重复）

# 更新单个 metadata 字段
secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \
  -m ip=10.0.0.1

# 轮换 token
secrets update -n refining --kind service --name gitea \
  -s token=<new-token>

# 新增 tag 并轮换 token
secrets update -n refining --kind service --name gitea \
  --add-tag production \
  -s token=<new-token>

# 移除废弃字段
secrets update -n refining --kind service --name mqtt \
  --remove-meta old_port --remove-secret old_password

# 从文件更新嵌套 secret 字段
secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \
  -s credentials:content@./keys/voson_shanghai_e.pem

# 删除嵌套字段
secrets update -n refining --kind server --name i-uf63f2uookgs5uxmrdyc \
  --remove-secret credentials:content

# 移除 tag
secrets update -n refining --kind service --name gitea --remove-tag staging
```

---

### delete — 删除记录

```bash
# 参数说明（带典型值）
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             gitea | i-uf63f2uookgs5uxmrdyc（必须精确匹配）

# 删除服务凭据
secrets delete -n refining --kind service --name legacy-mqtt

# 删除服务器记录
secrets delete -n ricnsmart --kind server --name i-old-server-id
```

---

### history — 查看变更历史

```bash
# 参数说明
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             记录名
#   --limit            返回条数（默认 20）

# 查看某条记录的历史版本列表
secrets history -n refining --kind service --name gitea

# 查最近 5 条
secrets history -n refining --kind service --name gitea --limit 5

# JSON 输出
secrets history -n refining --kind service --name gitea -o json
```

---

### rollback — 回滚到指定版本

```bash
# 参数说明
#   -n / --namespace     refining | ricnsmart
#   --kind               server | service
#   --name               记录名
#   --to-version <N>     目标版本号（省略则恢复最近一次快照）

# 撤销上次修改（回滚到最近一次快照）
secrets rollback -n refining --kind service --name gitea

# 回滚到版本 3
secrets rollback -n refining --kind service --name gitea --to-version 3
```

---

### inject — 输出临时环境变量

敏感值仅打印到 stdout，不持久化、不写入当前 shell。

```bash
# 参数说明
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             记录名
#   --tag              按 tag 过滤（可重复）
#   --prefix           变量名前缀（留空则以记录 name 作前缀）
#   -o / --output      text（默认 KEY=VALUE）| json | json-compact

# 打印单条记录的所有变量（KEY=VALUE 格式）
secrets inject -n refining --kind service --name gitea

# 自定义前缀
secrets inject -n refining --kind service --name gitea --prefix GITEA

# JSON 格式（适合管道或脚本解析）
secrets inject -n refining --kind service --name gitea -o json

# eval 注入当前 shell（谨慎使用）
eval $(secrets inject -n refining --kind service --name gitea)
```

---

### run — 向子进程注入 secrets 并执行命令

secrets 仅作用于子进程环境，不修改当前 shell，进程退出码透传。

```bash
# 参数说明
#   -n / --namespace   refining | ricnsmart
#   --kind             server | service
#   --name             记录名
#   --tag              按 tag 过滤（可重复）
#   --prefix           变量名前缀
#   -- <command>       执行的命令及参数

# 向脚本注入单条记录的 secrets
secrets run -n refining --kind service --name gitea -- ./deploy.sh

# 按 tag 批量注入（多条记录合并）
secrets run --tag production -- env | grep -i token

# 验证注入了哪些变量
secrets run -n refining --kind service --name gitea -- printenv
```

---

### upgrade — 自动更新 CLI 二进制

从 Gitea Release 下载最新版本，校验对应 `.sha256` 摘要后替换当前二进制，无需数据库连接或主密钥。

```bash
# 检查是否有新版本（不下载）
secrets upgrade --check

# 下载、校验 SHA-256 并安装最新版本
secrets upgrade
```

---

### config — 配置管理（无需主密钥）

```bash
# 设置数据库连接（每台设备执行一次，之后永久生效；先验证连接可用再写入）
secrets config set-db "postgres://postgres:<password>@<host>:<port>/secrets"

# 查看当前配置（密码脱敏）
secrets config show

# 打印配置文件路径
secrets config path
# 输出: /Users/<user>/.config/secrets/config.toml
```

---

### 全局参数

```bash
# debug 日志（位于子命令之前）
secrets --verbose search -q mqtt
secrets -v add -n refining --kind service --name gitea -m url=xxx -s token=yyy

# 或通过环境变量精细控制
RUST_LOG=secrets=trace secrets search

# 一次性覆盖数据库连接
secrets --db-url "postgres://..." search -n refining
```

## 代码规范

- 错误处理：统一使用 `anyhow::Result`，不用 `unwrap()`
- 异步：全程 `tokio`，数据库操作 `sqlx` async
- SQL：使用 `sqlx::query` / `sqlx::query_as` 绑定参数，禁止字符串拼接（搜索的动态 WHERE 子句除外，需使用参数绑定 `$1/$2`）
- 新增 `kind` 类型时：只需在 `add` 调用时传入，无需改代码
- 字段命名：CLI 短标志 `-n`=namespace，`-m`=meta，`-s`=secret，`-q`=query，`-v`=verbose，`-f`=field，`-o`=output
- 日志：用户可见输出用 `println!`；调试/运维信息用 `tracing::debug!`/`info!`/`warn!`/`error!`
- 审计：`add`/`update`/`delete` 成功后调用 `audit::log_tx`，写入 `audit_log` 表；失败只 warn 不中断
- 加密：`encrypted` 列存储 AES-256-GCM 密文；`add`/`update`/`search`/`delete` 需主密钥（`secrets init` 后从 OS 钥匙串加载）
- 输出：读命令通过 `OutputMode` 支持 text/json/json-compact/env；写命令 `add` 同样支持 `-o json`

## 提交前检查（必须全部通过）

每次提交代码前，请在本地依次执行以下检查，**全部通过后再 push**：

优先使用：

```bash
./scripts/release-check.sh
```

它等价于先检查版本号 / tag，再执行下面的格式、Lint、测试。

### 1. 版本号（按需）

若本次改动需要发版，请先确认 `Cargo.toml` 中的 `version` 已提升，避免 CI 打出的 Tag 与已有版本重复。**升级版本后需同时更新 `Cargo.lock`**（运行 `cargo build` 即可自动同步），否则 CI 中 `cargo clippy --locked` 会因 lock 与 manifest 不一致而失败。可通过 git tag 判断：

```bash
# 查看当前 Cargo.toml 版本
grep '^version' Cargo.toml

# 查看是否已存在该版本对应的 tag（CI 使用格式 secrets-<version>）
git tag -l 'secrets-*'
```

若当前版本已被 tag（例如已有 `secrets-0.3.0` 且 `Cargo.toml` 仍为 `0.3.0`），则应在 `Cargo.toml` 中 bump 版本号，再执行 `cargo build` 同步 `Cargo.lock`，最后一并提交，以便 CI 自动打新 Tag 并发布 Release。

### 2. 格式、Lint、测试

```bash
cargo fmt -- --check   # 格式检查（不通过则运行 cargo fmt 修复）
cargo clippy -- -D warnings  # Lint 检查（消除所有 warning）
cargo test             # 单元/集成测试
```

或一次性执行：

```bash
cargo fmt -- --check && cargo clippy -- -D warnings && cargo test
```

## CI/CD

- Gitea Actions（runners: debian / darwin-arm64 / windows）
- 触发：`src/**`、`Cargo.toml`、`Cargo.lock` 变更推送到 main
- 构建目标：`x86_64-unknown-linux-musl`、`aarch64-apple-darwin`、`x86_64-apple-darwin`（由 ARM mac runner 交叉编译）、`x86_64-pc-windows-msvc`
- 新版本自动打 Tag（格式 `secrets-<version>`）并上传二进制与对应 `.sha256` 摘要到 Gitea Release
- Release 仅在 Linux/macOS/Windows 构建全部成功后才会从 draft 发布
- 通知：飞书 Webhook（`vars.WEBHOOK_URL`）
- 所需 secrets/vars：`RELEASE_TOKEN`（Release 上传，Gitea PAT）、`vars.WEBHOOK_URL`（通知，可选）
- **注意**：Gitea Actions 的 Secret/Variable 创建时，`data`/`value` 字段需传入**原始值**，不要使用 base64 编码

## 环境变量

| 变量 | 说明 |
|------|------|
| `RUST_LOG` | 日志级别，如 `secrets=debug`、`secrets=trace`（默认 warn） |
| `USER` | 审计日志 actor 字段来源，Shell 自动设置，通常无需手动配置 |

数据库连接通过 `secrets config set-db` 持久化到 `~/.config/secrets/config.toml`，不支持环境变量。