2024年4月19日
1、setting_bind_phone（手机号绑定页面），如果用户已绑定手机号将显示以下内容。【1、脱敏显示用户已绑定手机号（136****5953）隐私保护，不管什么情况 都不会完整显示手机号。】2、显示平台关于换绑手机号的方法【您已经成功绑定了手机号码，如果有需要更换号码的需求，我们有一套安全的验证流程来保护您的账户安全。如果您的原手机号仍然可以使用，我们会通过发送验证码的方式，让您获取解绑的短信，之后，您就可以绑定新的手机号了。如果您的手机号无法使用，但您的账户已绑定了邮箱，那么您也可以通过邮箱来完成手机号的解绑操作。在最复杂的情况下，比如您的手机号和邮箱都无法使用，但如果您的账户已经完成了实名认证，我们仍然有一个备选方案：使用人脸识别技术来完成解绑流程。】
2、绑定手机号页面，会通过xc_is_login_email来获取用户邮箱、xc_is_login_idcard获取用户实名信息。如果用户已绑定手机号 则会默认输出底部菜单【通过手机短信进行换绑】。如果用户绑定了邮箱则额外显示【通过邮箱账户换绑手机号】菜单。如果用户已进行了实名认证，则还会显示【使用人脸识别换绑手机号】菜单。
3、新增页面：setting_ubbind_phone（换绑手机号），该页面需要通过GET来传递unbind_type变量（固定值：phone，通过原来短信验证码来换绑手机号。email，通过邮箱账户来换绑手机号）。进入该页面后会通过xc_is_login来获取登录用户，如果未登录则直接返回错误。同样的如果传递的email，但是用户未绑定邮件一样会返回错误。注：用户可以通过这个页面来执行手机号换绑操作。（注:手机号只能换绑，不能进行解绑）
4、手机号换绑页面已集成【xc_order_access】访问拦截事件，检测标识：setting_ubbind_phone，检测变量：$unbind_type。以下三种情况的页面访问会被拦截并跳转到403错误页面。1、如果用户未登录，则禁止访问。2、unbind_type等于phone，但是用户未绑定手机号则拦截。3、unbind_type等于email，但是用户未绑定邮箱账户则拦截。
5、宫论短信场景新增配置【手机号解绑验证码：unbind_phone】，用户通过短信方式来换绑账户手机号时会触发这个场景。短信模版ID：（1646861）、短信模版文本：（您正在修改账户手机号码，验证码为：{1}，为保障帐户安全，请勿向任何人提供此验证码。）。每日发送次数：5次、短信码有效期：300秒，发送间隔限制：60秒。短息发送来源为用户绑定手机号（是）、登录用户才可用该消息场景（是）。
6、手机号换绑页面采用下一步操作方式，在执行换绑前需要先效验旧手机号（此处号码依旧脱敏显示），如果旧手机号短信验证成功 则会生成一个有效期为N分钟的秘钥。然后进入下一步，新号码的绑定业务逻辑处理。新号码效验的时候后端将检查秘钥是否安全可靠，如果可靠则允许对方进行换绑操作。为了防止页面冲突，新旧号码的验证表单分别命名为【ubbind_phone_old、ubbind_phone_new】。
7、unbind_phone账户换绑验证码发送业务逻辑已完成封装，前端通过xc_hook_sms_code发送验证码前，会检查用户是否处于换绑页面（元素：setting_ubbind_phone），如果不处于则返回错误。后端在收到换绑请求验证码后，会效验账户是否已绑定手机号，如果未绑定则返回对应错误。以上两个前后端拦截属于短信场景追加，通用拦截规则依旧保持不变。
8、后端钩子：xc_binding_phone_hook 已完成换绑手机号的业务封装。用户通过前端业务提交换绑请求，钩子会依次执行以下动作处理。1、检测用户是否处于登录状态（换绑必须为本人，且处于登录状态才能完成）。如果未登录则提示【处理失败：请登录后操作】。2、检测传递的数组是否以下字段【code：验证码、type：短信场景】，如果不存在则提示【换绑失败：传递的参数异常】。3、通过xc_is_login_phone来获取当前用户手机号，如果获取失败则提示【换绑失败：账户未绑定过手机号】。4、通过xc_sms_code_check_hook进行验证码校队，如果不通过则返回对应错误，如果通过则回调xc_verification_code数据表记录。5、返回code=0，前端响应换绑验证码通过。
9、新增redis缓存【unbind_phone:令牌秘钥】，当用户通过效验了换绑验证码后 会通过uniqid函数来生成唯一秘钥（毫秒级），并将其封装成于token数组。token除了uniqid秘钥参数外，还包含（user_id：换绑用户、time：操作日期时间、phone：换绑的手机号信息）。数组会写入到redis缓存键位，有效期为600秒（10分钟）。返回前端的响应结构体也会同步返回（uniqid）字段。注：这个缓存是后端鉴权的关键步骤，在后续的新手机号效验过程中，会通过这个秘钥来判断用户是否有权限执行换绑操作。
10、前端新增钩子：xc_hook_ubbind_phone，处理换绑手机号请求。需要传递变量type（固定值为：email通过邮件验证码来完成换绑操作、sms通过短信验证码来完成换绑操作）后续还会接入real：通过实名认证方式来完成换绑操作。手机号换绑涉及账户安全处理，需要做很多安全拦截处理。因为支持的换绑方式有多个，为了业务的可靠性 前后端都需要封装一个钩子来处理换绑请求。
11、xc_hook_binding_phone在完成换绑短信验证码的效验后，会依次执行以下页面交互。1、通过removeClass将【xc_get_code_1】移除，并通过addClass将其改为【xc_get_code】2、使用fadeOut和fadeIn过长动画来处理（隐藏：unbind_phone_old旧手机号验证表单、显示：unbind_phone_new新绑定手机号表单）。3、如果后端的数据返回存在字段uniqid，则在setting_ubbind_phone元素后面追加自定义属性（uniqid）。4、页面提示【效验成功，可以绑定新手机号】。
12、手机号换绑页面现在采用动态标题，如果unbind_type=phone则默认显示：手机换绑验证码、如果是email则默认显示：邮箱换绑验证。当用户完成了旧手机或邮箱的验证码效验后，则标题会通过jquery来做动态调整，比如短信效验成功后，页面会通过xc_hook_binding_phone事件调整为【换绑新手机】。邮箱的动态标题后续也是一样的调整。注：为了避免页面冲突，动态调整标题时会通过：last来选择最后一个符合元素。
13、换绑新手机的验证码与新绑定手机验证事件为同一个【都是通过：bind_phone】短信场景来处理。两者的后端处理逻辑保持一致，唯一的区别在于前端钩子：xc_hook_sms_code会进行元素判断，通过检测【setting_unbind_phone】来判断是新绑定还是换绑。如果是换绑则手机号通过setting_bind_phone .phone.bind .xc_phone_number表单获取，并且会尝试获取uniqid页面自定义属性，如果获取失败则直接返回【获取失败：换绑手机令牌不存在】。注：因为换绑手机的时候，账户必定绑定手机号。因此后端【bind_phone】短信效验场景移除了xc_is_login_phone的处理。获取绑定验证码不在验证是否已绑定手机号。不过首次绑定xc_binding_phone_hook的钩子逻辑，依旧会效验账户是否绑定手机号。防止出现重复绑定。
14、前端换绑手机号请求事件xc_hook_unbind_phone完成短信封装，当收到sms请求解绑后。会依次执行以下动作。1、通过xc.is_login检测用户是否处于登录状态，如果不处于则触发xc_login。2、检测页面元素setting_unbind_phone是否存在，如果不存在则提示【换绑错误：页面元素不存在】。3、获取页面的新手机号和验证码，如果获取失败或则为空则提示【验证码手机号不能为空】4、通过xc_is_phone效验用户的手机号是否为国内号码不是则提示【请输入正确的手机号<br>注：目前仅支持国内手机号码段】。5、获取页面元素是否存在解绑令牌uniqid，如果不存在则提示【换绑失败：解绑令牌不存在】。6、将上述参数封装到unbind数组对象，然后通过ajax发送到后端处理。

2024年4月18日
1、xc_update_password_hook账户密码重置钩子优化，在通过wp_set_password完成账户密码重置工作后，系统会强制所有设备离线。但是这个逻辑与设计逻辑不通，重置账户密码的设备应该保持在线才对。因此在完成重置钩子执行前，会通过xc_is_login获取当前UID，如果操作用户与当前用户是同一人，则立即通过wp_set_auth_cookie来恢复用户的登录状态。
2、短信场景模版新增配置【bind_phone】使用场景：手机号绑定验证码。模版ID（2130785），文本示例【您的验证码：{1}，这是您绑定手机号的操作验证码，如果这不是您本人的操作，请忽略本短信！】。每日发送次数6次、短信验证码有效期：300秒、发送间隔时长（60秒）。用户绑定手机号（关闭：首次绑定手机号，用户必定未绑定）。登录用户才可用（开启，仅限登录用户触发该短信场景。）
3、手机号绑定页面优化处理，页面标识变更为【setting_bind_phone】，该页面user_id通过【xc_is_login】来获取，为了确保安全可靠，用户只能访问自己的手机号绑定页面，管理员也不能修改或绑定用户号码。在绑定页面，用户的手机号获取方式不在通过get_user_meta来读取phone字段，而是通过xc_is_login_phone方法来赋值。规范化整个页面变量。
4、xc_sms_code_hook已支持（bind_phone：绑定手机号）验证码场景，当收到该类型的验证码请求后，函数会在原有拦截机制下 额外执行以下两个拦截检测。1、通过xc_is_login_phone检测当前用户是否已绑定手机号，如果已绑定则返回【短信发送失败：账户已绑定手机号】。2、通过xc_is_phone_user效验手机号是否已绑定其他账户，如果已绑定则提示【短信发送失败：手机号已绑定其他账户】。
5、新增前端钩子:xc_hook_binding_phone()，需要传递变量（status）固定值为（add：绑定手机号验证、cut：解绑手机号验证）。为了方便维护，绑定和解绑事件封装到一个钩子事件中处理，根据变量参数来执行不同的效验处理的。注：后端也是采用统一钩子来处理绑定和解绑请求，操作成功回调也是一样。
6、xc_hook_binding_phone已完成【status：add】绑定手机号的业务封装，当收到手机号绑定请求，会依次执行以下检测。1、检测页面是否存在元素【setting_bind_phone】，如果不存在则返回【页面参数异常】。2、通过user.is_phone检测用户是否绑定手机号，如果等于true则返回【账户已经绑定手机号】。3、通过find元素选择器获取页面中的手机号表单和验证码表单。4、通过xc_is_phone来验证用户输入手机号是否有效，如果无效则返回【请输入正确的手机号<br>注：目前仅支持国内手机号码段】。5、创建binding对象，将【status、code、phone】三个属性封装到其中。然后发起ajax请求，到后端处理业务。
7、新增后端钩子：xc_binding_phone_hook，需要传递binding【数组对象，包含绑定解绑手机号的各项参数，比如手机号、验证码、短信场景】该钩子全局拦截事件有：1、binding如果为空或者不等于数组则返回错误【处理失败：传递的参数异常】。2、通过xc_is_login获取登录用户，如果获取失败则返回【处理失败：请登录后操作!】会同步返回jump=login。该钩子返回标准的数组结构。code=1代表操作失败、msg是失败详情。code=代表操作成功（解绑或绑定成功）。
8、账户【解绑/绑定】手机号钩子已完成绑定手机号的业务封装，当收到status=ADD的请求 会依次执行以下效验。1、检测数组是否存在code、phone、type三个字段，如果不存在则返回【处理失败：传递的参数异常】。2、通过xc_is_login_phone检测当前用户是否绑定手机号，如果已绑定则返回【绑定失败：账户已绑定过手机号】。3、通过xc_phone_regular正则检测提交的验证手机号是否为国内手机号，如果不是则提示【绑定失败：请输入正确的手机号<br>注：目前仅支持国内手机号码段】。4、通过xc_is_phone_user检测手机号是否绑定过账户，如果绑定则提示【绑定失败：账户已绑定过手机号】。5、通过xc_sms_code_check_hook执行验证码是否有效，如果验证码效验失败则返回对应错误。6、验证码效验成功，则回调xc_verification_code数据表对应记录，将其状态标记为OK。7、通过update_user_meta更新用户的手机号，完成绑定流程。8、返回code=0msg=绑定手机号成功。
9、后端增加回调钩子：xc_binding_phone_ok_hook，当用户手机号解绑或绑定成功 会触发这个回调钩子，会传递【binding】数组变量，可以根据binding[status]来判断是解绑请求还是绑定请求。这个钩子可以做一些内部事件的处理，比如手机号缓存更新、push通知等。绑定手机号的update_user_meta动作也通过这个回调钩子来完成。
10、前端同样新增回调钩子：xc_hook_binding_phone_ok，当【解绑或绑定手机】后端响应操作成功后会直接触发这个钩子。同意会传递【binding】数组变量，可以根据binding[status]来判断是解绑请求还是绑定请求。注：当响应为（add）会执行以下动作。1、将user.is_phone标记为true，在不刷新的页面情况下，告知所有业务 当前用户已完成手机绑定。2、触发提示【手机号绑定成功】。3、回调上级页面菜单元素【.xc_user_setting .phone span.value】将文本变更为本次绑定的手机号。4、延迟1.5秒，发生后退行为。
11、为了方便后续业务的接管，当用户执行手机号解绑或绑定操作成功后会通过xc_do_action来挂载动作钩子，挂载位置函数（xc_binding_phone_ok_hook），这个属于预留回调钩子，如果有接口或业务需要触发绑定和解绑手机号的事件，可以通过对应的回调机制，来接入到这个函数。这样当触发xc_binding_phone_ok_hook钩子时，会将对应的变量参数同步过去并执行。
12、xc_sms_code_hook钩子优化，短信超速拦截处理顺序进行调整。现在是在基础拦截效验结束后才会执行超速检测，具体标识为：如果未登录、手机号错误、获取次数超过限制、特定场景拦截规则，都不会触发超速锁的触发，只有上述通用拦截规则完成效验后，准备执行xc_phone_push消息下发时才会触发上锁处理。并且xc_phone_push下发短信失败后会立即释放锁。经过这样的处理可以避免，手机号登错误的情况，也要等待XX秒才能重新获取。
13、xc_user_setting（用户资料）页面优化处理：进入后会赋值以下五个变量。1、admin：管理员身份效验，通过xc_is_admin函数来获取。2、user_id：当前访问用户，通过xc_is_login来获取。3、phone检测用户对象是否已绑定手机号，通过xc_is_login_phone来获取。4、email：检测用户对象是否已绑定邮箱，通过xc_is_login_email来获取。5、weixin：检测用户对象是否绑定微信登录，通过xc_is_login_weixin来获取。注：资料页面需要区分以下三个场景（1、用户访问自己的资料页面，用户查看别的用户资料页、管理员访问其他用户资料页）

2024年4月16日
1、push通知接口，已完成【lnsecure_login：账户异地登录报警】的通知处理。通用标题：（⚠️ 账户异地登录提醒）正文：（登录地点：' . $data['city'] . '，如不是本人登录行为，账户可能已出现安全问题。）。邮件正文：（尊敬的 您的账户疑似在以下地点异地登录： 登录地点：' . $data['city'] . ' 登录IP：' . $data['ip'] . ' 登录设备：' . xc_get_phone_brands($data['ua']) . '如果这不是您本人的操作，您的账户可能已出现安全问题。请您尽快修改重置密码，确保账户安全。）。默认LINK链接【home：首页】。异地登录提醒，五个消息场景都开启通知。
2、考虑到异地登录提醒、重置密码通知 都是异步执行，无法获得客户端信息（IP、UA、城市）。因此在执行xc_notify_hook推送前，会提前捕获客户端IP、UA、指纹等参数 然后封装到push_data变量中。在异地执行推送请求的时候，可以通过检测push_data这个数组，来获取对应参数。然后对其进行解析处理。注：push_data是固定存在数组的，变量参数不固定，但是IP、ua、fingerprint这三个必定会存在的。
3、xc_login_hook用户登录钩子新增白名单机制，当登录请求来源属于白名单类型则默认视为安全。在完成登录效验后会通过xc_update_security对设备指纹进行安全同步更新，目前以下三种方式登录是安全可靠的（1、短信验证码登录。2、APP一键登录（通过手机号鉴权操作）。3、APP端：微信登录请求）其它登录均视为不安全。
4、异地登录报警机制全部重构，现在支持用户手动开启和全局强制开启。通知下发通过PUSH异步请求来执行【lnsecure_login】，短信和邮件的发送频率限制也由通知场景来控制。因为全局支持开启，所以判定异地登录的方式做了优化。不在单纯通过指纹来效验是否安全可靠，而是结合白名单登录来做双重效验。减少非必要的通知。（注：白名单登录、指纹、城市。三重要素都匹配失败的情况下，才判断并且标记为异地。）
5、很多场景需要效验用户user_id是否存在对象，每次都通过get_userdata之类的方法来查询存在性能耗损。因此封装一个is语法来处理效验用户是否存在【xc_is_user】，该方法具有缓存特性，不会重复执行sql请求。具体执行流程如下。1、通过is_numeric检测传递的用户UID是否为数字，如果不是则直接返回false。2、创建redis缓存键：【is_user:' . $user_id】，然后读取它，如果存在缓存则说明用户存在，直接返回true。3、如果读取缓存失败，则通过wpdb的get_row来查询users数据表是否有对应用户，如果查询成功，则更新缓存（有效期30天），并返回true。如果查询失败则直接返回false。
6、找回账户页面，右上角新增一个客服图标（引导用户进入客服中心），用户如果对账户存在疑惑可以通过客服中心来寻得帮助。同时该页面底部的两个找回接口【通过人工申诉找回账户、通过人脸识别找回账户】绑定临时onclick提示【接口尚未开放，等待集成中】。注：申诉找回账户和人脸识别涉及的业务很深，目前没有精力去集成。暂且搁浅一边，后面在回过头来集成。
7、宫论账户找回功能暂且集成完毕，在登录页面，用户可以点击忘记账户（菜单），进入账户查页。通过输入（手机号、邮箱、身份证）来查找关联绑定账户。如果查找到对应账户，会进入账户找回页面，在找回页面会显示账户找回相关提示，并且展示用户相关信息（其中：身份证、手机号）会脱敏显示。如果绑定手机号、则可以点击手机号进行短信登录。如果绑定了邮箱，点击可以进入邮箱重置密码页面。如果上述两种方式都无法登录重置，那么将会根据账户资料情况显示【人工申诉、人脸识别】菜单，然后用户可以选择对应方式来找回或申诉关联账户。注：申诉和人脸后面才会集成，同时账户找回接口是具有安全拦截性质，短时间内只能使用X次，超过次数自动风控拦截。
8、页面密码输入表单，点击图标监听事件（显示密码和隐藏密码）优化处理，在触发click事件时 会检测是否存在上级监听（重复加载多个页面，产生多个表单监听）。如果存在则使用 .off('click') 来移除已经存在的点击事件监听器，然后再添加新的监听器。这可以确保每个元素上只有一个点击事件监听器，避免了重复触发的问题。
9、新增css通用类名：grey。页面背景色background默认是白色，如果需要浅灰色则加入这个类名，即可将色调变更为浅灰色，调整位置为【.page-content.grey】。账户资料设置-密码重置页进行重构处理，防止出现冲突和安全，管理员也无法修改别人的的密码。同时操作页面标识调整为【setting_update_password】
10、短信场景模版新增配置【账户密码重置验证码】，唯一标识：update_password。短信ID：1646866。短信模版文本（您的验证码为：{1}，您正在进行密码重置操作，如非本人操作，请忽略本短信！）。每日发送次数（6次）、短信验证码有效期：300秒、发送间隔时长：60秒、用户绑定手机号（强制开启，接收验证码的短信必须为用户绑定手机号）、登录用户才可用：（强制开启：必须登录用户才能发起该场景验证码请求）。
11、登录安全设置页：xc_login_security，新增一个头部提示，告知用户登录限制的失效机制。具体文字为：【你可以对账户进行一些登录限制，但是账户进行【密码重置或解除冻结】时，系统会重置并删除这些登录限制和地区锁定。这是为了确保你在执行这些操作后能够顺利地访问自己的账户，而不会受到之前设置的限制的影响。】
12、xc_hook_sms_code：短信验证码获取钩子已支持密码重置（update_password）验证码的处理逻辑，在提交验证码前会先验证用户是否已设置账户新密码，如果未设置则提示【获取验证码前，请先填写新密码】。如果已输入，则效验两次密码是否一致，如果不一致则提示【两次输入的密码不一致】。符合条件的情况下，则触发ajax请求，通过后端情趣发送验证码（后端会进行一系列的安全拦截检测），在符合条件的情况下才会执行短信发送请求。完成短信发送请求后，页面会通过xc_hook_sms_code_ok钩子执行参数回调，将获取验证码表单设置为倒计时，并在倒计时完成前移除点击事件。
13、短信重置密码事件已完成封装（xc_sms_update_password）当用户获取验证码后，可以通过右上角【修改】文字来触发该事件，发起密码重置请求。会依次执行以下动作。1、通过is_login来检测用户是否登录，如果未登录则触发【xc_login】登录事件。注：短信重置密码必须用户已登录的情况再操作。2、通过元素选择器setting_update_password，检查用户是否处于密码重置页，如果不处于则视为非法请求。如果处于则将页面元素存储于content，方便后续的操作。3、获取两个密码输入表框，如果未填写 或填写密码的不一致则触发提示。4、获取验证码，如果获取失败则提示错误。5、完成上述前端效验后，将所有的变量封装到update数组对象中，发起ajax请求到后端。
14、后端已完成【xc_sms_update_password】的事件处理，当收到短信密码重置请求时，后端会依次执行以下动作。1、通过xc_is_login获取当前用户UID，如果获取失败则返回【请先登录后再操作！】，并额外返回字段【jump=login】。2、检测update数组是否存在code、password字段，如果不存在正则返回【密码重置参数不完整】。3、通过xc_is_password对密码变量进行检测，如果不符合规范则返回错误。4、通过xc_is_login_phone获取用户手机号，如果获取失败，则返回错误。5、通过xc_sms_code_check_hook发起验证码效验，如果效验不通过则返回错误信息。6、如果验证码效验通过则触发钩子xc_update_password_hook（密码重置请求）。7、回调xc_verification_code验证码数据表，将验证码状态标记为OK。8、返回code=0，告知前端 密码重置工作已完成。9、前端页面，收到密码重置成功请求，触发提示【账户密码重置成功】。延迟1.5秒发生后退行为、将修改按钮的onclick事件移除，防止二次操作。

最低多少钱？最低多少钱？

测试看看最低多少钱？

内容测试出